As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configure a segurança na Amazon SageMaker AI
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam à Amazon SageMaker AI, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Essa documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar a SageMaker IA. Os tópicos a seguir mostram como configurar a SageMaker IA para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos de SageMaker IA.
**Topics**
+ [Privacidade de dados na Amazon SageMaker AI](data-privacy.md)
+ [Proteção de dados na Amazon SageMaker AI](data-protection.md)
+ [AWS Identity and Access Management para Amazon SageMaker AI](security-iam.md)
+ [Registro em log e monitoramento](sagemaker-incident-response.md)
+ [Validação de conformidade para Amazon SageMaker AI](sagemaker-compliance.md)
+ [Resiliência na Amazon AI SageMaker](disaster-recovery-resiliency.md)
+ [Segurança de infraestrutura na Amazon SageMaker AI](infrastructure-security.md)
# Privacidade de dados na Amazon SageMaker AI
A Amazon SageMaker AI coleta informações agregadas sobre o uso de bibliotecas AWS próprias e de código aberto usadas durante o treinamento. SageMaker A IA usa esses metadados agregados para melhorar os serviços e a experiência do cliente.
As seções a seguir fornecem explicações sobre o tipo de metadados que a SageMaker IA coleta e como optar por não participar da coleta de metadados.
## Tipos de informação coletados
**Informações de uso**
Metadados AWS de bibliotecas próprias e de código aberto que são usados com SageMaker treinamento, como aqueles usados para treinamento distribuído, compilação e quantização.
**Erros**
Erros de comportamento inesperado, incluindo falhas, falhas, cascatas e falhas resultantes da interação com a plataforma de treinamento. SageMaker
## Como optar por não participar da coleta de metadados
Você pode optar por não compartilhar metadados agregados com o SageMaker treinamento ao criar um trabalho de treinamento usando a `CreateTrainingJob` API. Se você estiver usando o console para criar trabalhos de treinamento, a coleta de metadados fica desativada por padrão.
**Importante**
Você deve optar por não participar da coleta de metadados para cada trabalho de treinamento enviado. Você também deve optar por cancelar em uma chamada de API, conforme mostrado nos exemplos a seguir. Você não pode optar por não participar por meio de um script de treinamento.
A seção a seguir mostra como você pode optar por não participar da coleta de metadados usando o AWS CLI AWS SDK para Python (Boto3), ou o SDK do SageMaker Python.
### Desative a coleta de metadados usando o AWS Command Line Interface ()AWS CLI
Para desativar a coleta de metadados usando o AWS CLI, defina `OPT_OUT_TRACKING` a variável de ambiente como `1` na `create-training-job` API, conforme mostrado no exemplo de código a seguir.
```
aws sagemaker create-training-job \
--training-job-name your_job_name \
--algorithm-specification AlgorithmName=your_algorithm_name\
--output-data-config S3OutputPath=s3://bucket-name/key-name-prefix \
--resource-config InstanceType=ml.c5.xlarge, InstanceCount=1 \
--stopping-condition MaxRuntimeInSeconds=100 \
--environment OPT_OUT_TRACKING=1
```
### Opte por não participar da coleta de metadados usando o AWS SDK para Python (Boto3)
Para desativar a coleta de metadados usando o SDK para Python (Boto3), defina a variável de ambiente `OPT_OUT_TRACKING` como `1` na API `create_training_job`, conforme mostrado no exemplo de código a seguir.
```
boto3.client('sagemaker').create_training_job(
TrainingJobName='your_training_job',
AlgorithmSpecification={
'AlgorithmName': 'your_algorithm_name',
'TrainingInputMode': 'File',
},
RoleArn='your_arn',
OutputDataConfig={
'S3OutputPath': 's3://bucket-name/key-name-prefix',
},
ResourceConfig={
'InstanceType': 'ml.m4.xlarge',
'InstanceCount': 1,
'VolumeSizeInGB': 123,
},
StoppingCondition={
'MaxRuntimeInSeconds': 123,
},
Environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Desative a coleta de metadados usando o SDK do SageMaker Python
Para desativar a coleta de metadados usando o SDK do SageMaker Python, defina a `OPT_OUT_TRACKING` variável `1` de ambiente como dentro de SageMaker um estimador de IA, conforme mostrado no exemplo de código a seguir.
```
sagemaker.estimator(
image_uri='path_to_container',
role='rolearn',
instance_count=1,
instance_type='ml.c5.xlarge',
environment={
'OPT_OUT_TRACKING': '1'
},
)
```
### Desativar a coleta de metadados em todas as contas
Se você quiser desativar a coleta de metadados para várias contas, defina uma variável de ambiente para interromper o rastreamento de todas as contas. Você precisa usar o SDK do SageMaker AI Python para desativar a coleta de metadados no nível da conta.
O exemplo de código a seguir mostra como cancelar o rastreamento de todas as contas.
```
SchemaVersion: '1.0'
SageMaker:
TrainingJob:
Environment:
'OPT_OUT_TRACKING': '1'
```
Para obter mais informações sobre como desativar o rastreamento em toda a conta, consulte Como [configurar e usar padrões com](https://sagemaker.readthedocs.io/en/stable/overview.html#id22) o SDK do Python. SageMaker
## Mais informações
**Se seu serviço downstream depender do treinamento de SageMaker IA**
Se você opera um serviço que depende de SageMaker treinamento, é altamente recomendável informar seu cliente sobre a coleta agregada de metadados na plataforma de SageMaker treinamento e apresentar a ele a opção de optar por não participar. Como alternativa, você pode cancelar a coleta de metadados em nome do cliente.
**Se você é cliente ou cliente de um serviço que usa treinamento de SageMaker IA**
Se você é cliente ou cliente de um serviço que usa SageMaker treinamento, use seu método preferido na seção anterior para cancelar a coleta de metadados.
# Proteção de dados na Amazon SageMaker AI
O [modelo de responsabilidade AWS compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) de se aplica à proteção de dados na Amazon SageMaker AI. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o Amazon SageMaker AI ou outro Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
**Topics**
+ [Proteção de dados em repouso usando criptografia](encryption-at-rest.md)
+ [Proteção de dados em trânsito com criptografia](encryption-in-transit.md)
+ [Gerenciamento de chaves](key-management.md)
+ [Privacidade do tráfego entre redes](inter-network-privacy.md)
# Proteção de dados em repouso usando criptografia
O Amazon SageMaker AI criptografa automaticamente seus dados usando um Chave gerenciada pela AWS para o Amazon S3 (SSE-S3) por padrão para os seguintes recursos: notebooks Studio, instâncias de notebook, dados de criação de modelos, artefatos de modelo e resultados de trabalhos de treinamento, Batch Transform e Processing.
Para acesso entre contas, você deve especificar sua própria chave gerenciada pelo cliente ao criar recursos de SageMaker IA, pois o padrão Chave gerenciada pela AWS do Amazon S3 não pode ser compartilhado entre contas. Quanto à saída de dados para o Amazon S3 Express One Zone, os dados são criptografados usando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3). Além disso, a saída de dados para os buckets de diretório do Amazon S3 não pode ser criptografada com criptografia do lado do servidor usando chaves (SSE-KMS). AWS Key Management Service Para obter mais informações sobre AWS KMS, consulte [O que é AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)
**Topics**
+ [Cadernos do Studio](encryption-at-rest-studio.md)
+ [Instâncias de notebook, trabalhos de SageMaker IA e endpoints](encryption-at-rest-nbi.md)
+ [SageMaker capacidades geoespaciais](geospatial-encryption-at-rest.md)
# Cadernos do Studio
No Amazon SageMaker Studio, seus cadernos e dados do SageMaker Studio podem ser armazenados nos seguintes locais:
+ Um bucket S3 — Quando você se integra ao Studio e ativa recursos compartilháveis do notebook, a SageMaker IA compartilha instantâneos e metadados do notebook em um bucket do Amazon Simple Storage Service (Amazon S3).
+ Um volume EFS — Quando você se integra ao Studio, a SageMaker IA anexa um volume do Amazon Elastic File System (Amazon EFS) ao seu domínio para armazenar seus cadernos e arquivos de dados do Studio. O volume EFS persiste depois que o domínio é excluído.
+ Um volume do EBS: quando você abre um caderno no Studio, um Amazon Elastic Block Store (Amazon EBS) é anexado à instância na qual o caderno é executado. O volume do EBS persiste durante a instância.
SageMaker A IA usa o AWS Key Management Service (AWS KMS) para criptografar o bucket do S3 e os dois volumes. Por padrão, ele usa uma chave do KMS gerenciada em uma conta de serviço da AWS . Para obter mais controle, você pode especificar sua própria chave gerenciada pelo cliente ao se integrar ao Studio ou por meio da SageMaker API. Para obter mais informações, consulte [Visão geral do domínio Amazon SageMaker AI](gs-studio-onboard.md) e [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html).
Na API `CreateDomain`, você usa o parâmetro `S3KmsKeyId` para especificar a chave gerenciada pelo cliente para cadernos compartilháveis. Você usa o parâmetro `KmsKeyId` para especificar a chave gerenciada pelo cliente para os volumes EFS e EBS. A mesma chave gerenciada pelo cliente é usada para os dois volumes. A chave gerenciada pelo cliente para cadernos compartilháveis pode ser a mesma chave gerenciada pelo cliente usada para os volumes ou uma chave gerenciada pelo cliente diferente.
**Importante**
O diretório de trabalho de seus usuários dentro do volume de armazenamento é `/home/sagemaker-user`. Se você especificar sua própria AWS KMS chave, tudo no diretório de trabalho será criptografado usando sua chave gerenciada pelo cliente. Se você não especificar uma AWS KMS chave, os dados contidos nela serão `/home/sagemaker-user` criptografados com uma chave AWS gerenciada. Independentemente de você especificar uma AWS KMS chave, todos os dados fora do diretório de trabalho são criptografados com uma chave AWS gerenciada.
# Instâncias de notebook, trabalhos de SageMaker IA e endpoints
Para criptografar o volume de armazenamento de aprendizado de máquina (ML) anexado a notebooks, trabalhos de processamento, trabalhos de treinamento, trabalhos de ajuste de hiperparâmetros, trabalhos de transformação em lote e endpoints, você pode passar uma AWS KMS chave para a IA. SageMaker Se você não especificar uma chave KMS, a SageMaker AI criptografa os volumes de armazenamento com uma chave transitória e a descarta imediatamente após criptografar o volume de armazenamento. Para instâncias de notebook, se você não especificar uma chave KMS, a SageMaker IA criptografa os volumes do sistema operacional e os volumes de dados de ML com uma chave KMS gerenciada pelo sistema.
Você pode usar uma AWS KMS chave AWS gerenciada para criptografar todos os volumes do sistema operacional da instância. Você pode criptografar todos os volumes de dados de ML para todas as instâncias de SageMaker IA com uma AWS KMS chave especificada por você. Os volumes de armazenamento de ML são montados da seguinte forma:
+ Cadernos - `/home/ec2-user/SageMaker`
+ Processamento: `/opt/ml/processing` e `/tmp/`
+ Treinamento - `/opt/ml/` e `/tmp/`
+ Lote - `/opt/ml/` e `/tmp/`
+ Endpoints - `/opt/ml/` e `/tmp/`
Os contêineres de trabalho de processamento, de transformação em lote e de treinamento e seu armazenamento são de natureza efêmera. Quando o trabalho é concluído, a saída é enviada para o Amazon S3 AWS KMS usando criptografia com uma chave AWS KMS opcional que você especifica e a instância é desativada. Se uma AWS KMS chave não for fornecida na solicitação de trabalho, a SageMaker AI usa a AWS KMS chave padrão do Amazon S3 para a conta da sua função. Se os dados de saída forem armazenados no Amazon S3 Express One Zone, eles serão criptografados usando a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3). Atualmente, a criptografia do lado do servidor com AWS KMS chaves (SSE-KMS) não é suportada para armazenar SageMaker dados de saída de IA em buckets de diretório do Amazon S3.
**nota**
A política de chaves para uma chave AWS gerenciada para o Amazon S3 não pode ser editada, portanto, permissões entre contas não podem ser concedidas para essas políticas de chaves. Se o bucket Amazon S3 de saída da solicitação for de outra conta, especifique sua própria chave de AWS KMS cliente na solicitação de trabalho e garanta que a função de execução do trabalho tenha permissões para criptografar dados com ela.
**Importante**
Os dados confidenciais que precisam ser criptografados com uma chave do KMS, por motivos de conformidade, devem ser armazenados no volume de armazenamento de ML ou no Amazon S3, ambos podem ser criptografados usando uma chave do KMS especificada.
Quando você abre uma instância do notebook, a SageMaker IA salva ela e todos os arquivos associados a ela na pasta SageMaker AI no volume de armazenamento de ML por padrão. Quando você interrompe uma instância do notebook, a SageMaker IA cria um instantâneo do volume de armazenamento de ML. Todas as personalizações no sistema operacional da instância interrompida, como bibliotecas personalizadas instaladas ou configurações no nível do sistema operacional, que são salvas fora da pasta, `/home/ec2-user/SageMaker` são perdidas. Considere usar uma configuração de ciclo de vida para automatizar personalizações da instância de caderno padrão. Quando você encerra uma instância, o snapshot e o volume de armazenamento de ML são excluídos. Todos os dados que você precisa persistir além do tempo de vida da instância de caderno devem ser transferidos para um bucket do Amazon S3.
Se a instância do notebook não estiver atualizada e estiver executando um software não seguro, a SageMaker IA poderá atualizar periodicamente a instância como parte da manutenção regular. Durante essas atualizações, os dados fora da pasta `/home/ec2-user/SageMaker` não são mantidos. Para obter informações sobre patches de manutenção e segurança, consulte[Manutenção](nbi.md#nbi-maintenance).
**nota**
Algumas instâncias de SageMaker IA baseadas em Nitro incluem armazenamento local, dependendo do tipo de instância. Os volumes de armazenamento local são criptografados usando um módulo de hardware na instância. Não é possível usar uma chave do KMS em um tipo de instância com armazenamento local. Para obter uma lista de tipos de instância que oferecem apoio ao armazenamento de instâncias local, consulte [Volumes de armazenamento de instâncias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes). Para obter mais informações sobre volumes de armazenamento em instâncias baseadas em Nitro, consulte [Amazon EBS e NVMe sobre instâncias Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Para obter mais informações sobre criptografia de armazenamento de instâncias locais, consulte [Volumes de armazenamento de instâncias SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
# SageMaker capacidades geoespaciais
Você pode proteger seus dados em repouso usando criptografia para fins SageMaker geoespaciais.
**Criptografia do lado do servidor com chave de propriedade SageMaker geoespacial da Amazon (padrão)**
Os recursos SageMaker geoespaciais da Amazon criptografam todos os seus dados, incluindo resultados computacionais dos seus `EarthObservationJobs` e de todos os `VectorEnrichmentJobs` metadados do seu serviço. Não há dados armazenados no Amazon SageMaker AI sem criptografia. Ele usa um padrão Chave pertencente à AWS para criptografar todos os seus dados.
**Criptografia do lado do servidor com chaves KMS armazenadas em (SSE-KMS) AWS Key Management Service**
Os recursos SageMaker geoespaciais da Amazon oferecem suporte à criptografia usando uma chave KMS de propriedade do cliente. Para obter mais informações, consulte [AWS KMS Permissões de uso para recursos SageMaker geoespaciais da Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/geospatial-kms.html).
# Proteção de dados em trânsito com criptografia
Todos os dados em trânsito entre redes são compatíveis com a criptografia TLS 1.2. Recomendamos usar o TLS 1.3.
Com a Amazon SageMaker AI, artefatos do modelo de aprendizado de máquina (ML) e outros artefatos do sistema são criptografados em trânsito e em repouso. As solicitações para a API de SageMaker IA e o console são feitas por meio de uma conexão segura (SSL). Você passa AWS Identity and Access Management funções para a SageMaker IA para fornecer permissões para acessar recursos em seu nome para treinamento e implantação.
Alguns dados em trânsito dentro da rede (dentro da plataforma de serviço) não são criptografados. Isso inclui:
+ Comunicações de comando e controle entre o ambiente de gerenciamento de serviço e as instâncias de trabalho de treinamento (não dados do cliente).
+ Comunicações entre nós em trabalhos de processamento distribuídos (dentro da rede).
+ Comunicações entre nós em trabalhos de treinamento distribuídos (dentro da rede).
Não há comunicações entre nós para processamento em lote.
Você pode optar por criptografar a comunicação entre os nós em um cluster de trabalhos de treinamento e em um cluster de trabalhos de processamento.
**nota**
Para casos de uso no setor de saúde, a melhor prática de segurança é criptografar a comunicação entre os nós.
Para obter informações sobre como criptografar a comunicação, consulte o próximo tópico em [Proteger as comunicações entre instâncias de computação de ML em um trabalho de treinamento distribuído](train-encrypt.md).
**nota**
Criptografar tráfego entre contêineres pode aumentar o tempo de treinamento, especialmente se você estiver usando algoritmos de aprendizado profundo distribuídos. Para algoritmos afetados, esse nível adicional de segurança também aumenta o custo. O tempo de treinamento da maioria dos algoritmos integrados de SageMaker IA XGBoost, como DeepAR e linear learner, normalmente não é afetado.
Os endpoints validados pelo FIPS estão disponíveis para a API SageMaker AI e o roteador de solicitação para modelos hospedados (tempo de execução). Para obter informações sobre endpoints compatíveis com FIPS, consulte [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
## Proteja as comunicações com a RStudio Amazon SageMaker AI
RStudio na Amazon, a SageMaker IA fornece criptografia para todas as comunicações que envolvem componentes de SageMaker IA. No entanto, a versão anterior não suportava criptografia entre os RSession aplicativos RStudio ServerPro e.
RStudio lançou a versão 2022.02.2-485.pro2 em abril de 2022. Esta versão oferece suporte à criptografia entre RSession aplicativos RStudio ServerPro e aplicativos para habilitar a end-to-end criptografia. A atualização da versão, no entanto, não é totalmente compatível com versões anteriores. Como resultado, você deve atualizar todos RStudio ServerPro os seus RSession aplicativos. Para obter informações sobre como atualizar suas aplicações, consulte [RStudio Controle de versão](rstudio-version.md).
# Proteger as comunicações entre instâncias de computação de ML em um trabalho de treinamento distribuído
Por padrão, a Amazon SageMaker AI executa trabalhos de treinamento em uma Amazon Virtual Private Cloud (Amazon VPC) para ajudar a manter seus dados seguros. Você pode adicionar outro nível de segurança para proteger os seus contêineres de treinamento, configurando uma VPC *privada*. Estruturas e algoritmos de ML distribuídos normalmente transmitem informações diretamente relacionadas ao modelo, como pesos, e não o conjunto de dados de treinamento. Ao realizar o treinamento distribuído, você pode proteger ainda mais os dados que são transmitidos entre as instâncias. Isso pode ajudar você a atender a requisitos regulamentares. Para fazer isso, use a criptografia de tráfego entre contêineres.
**nota**
Para casos de uso no setor de saúde, a melhor prática de segurança é criptografar a comunicação entre os nós.
A habilitação da criptografia de tráfego entre contêineres pode aumentar o tempo de treinamento, especialmente se você estiver usando algoritmos de aprendizado profundo distribuídos. Habilitar a criptografia do tráfego entre contêineres não afetar trabalhos de treinamento com uma única instância de computação. No entanto, para trabalhos de treinamento com várias instâncias de computação, o efeito sobre o tempo de treinamento depende da quantidade de comunicação entre instâncias de computação. Para algoritmos afetados, adicionar esse nível adicional de segurança também aumenta o custo. O tempo de treinamento da maioria dos algoritmos integrados de SageMaker IA XGBoost, como DeepAR e linear learner, normalmente não é afetado.
Você pode habilitar a criptografia de tráfego entre contêineres para trabalhos de treinamento ou trabalhos de ajuste de hiperparâmetros. Você pode usar nosso console SageMaker APIs para habilitar a criptografia de tráfego entre contêineres.
Para obter informações sobre a execução de trabalhos de treinamento em uma VPC privada, consulte [Dê aos trabalhos de treinamento de SageMaker IA acesso aos recursos em sua Amazon VPC](train-vpc.md).
## Habilitar a criptografia de tráfego entre contêineres (API)
Antes de ativar a criptografia de tráfego entre contêineres em trabalhos de treinamento ou ajuste de hiperparâmetros com APIs, adicione regras de entrada e saída ao grupo de segurança da sua VPC privada.
**Como habilitar a criptografia de tráfego entre contêineres (API)**
1. Adicione as seguintes regras de entrada e saída no grupo de segurança para a sua VPC privada:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/train-encrypt.html)
1. Quando você enviar uma solicitação à API [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), especifique `True` para o parâmetro `EnableInterContainerTrafficEncryption`.
**nota**
Para o `ESP 50` protocolo, o console do grupo de AWS segurança pode exibir o intervalo de portas como “Tudo”. No entanto, o Amazon EC2 ignora o intervalo de portas especificado porque ele não é aplicável ao protocolo IP ESP 50.
## Habilitar a criptografia de tráfego entre contêineres (Console)
### Habilitar a criptografia de tráfego entre contêineres em um trabalho de treinamento
**Como habilitar a criptografia de tráfego entre contêineres em um trabalho de treinamento**
1. Abra o console Amazon SageMaker AI em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. No painel de navegação, escolha **Treinamento** e **Trabalhos de treinamento**.
1. Escolha **Criar trabalho de treinamento**.
1. Em **Rede**, selecione uma **VPC**. Você pode usar a VPC padrão ou uma criada por você.
1. Escolha **Habilitar a criptografia de tráfego entre contêineres**.
Depois de habilitar a criptografia de tráfego entre contêineres, termine de criar o trabalho de treinamento. Para obter mais informações, consulte [Treinar um modelo](ex1-train-model.md).
### Habilitar a criptografia de tráfego entre contêineres em um trabalho de ajuste de hiperparâmetros
**Como habilitar a criptografia de tráfego entre contêineres em um trabalho de ajuste de hiperparâmetros**
1. Abra o console Amazon SageMaker AI em [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/).
1. No painel de navegação, escolha **Treinamento** e **Trabalhos de ajuste de hiperparâmetros**.
1. Escolha **Criar trabalho de ajuste de hiperparâmetros**.
1. Em **Rede**, selecione uma **VPC**. Você pode usar a VPC padrão ou uma criada por você.
1. Escolha **Habilitar a criptografia de tráfego entre contêineres**.
Depois de ativar a criptografia de tráfego entre contêineres, termine de criar o trabalho de ajuste de hiperparâmetros. Para obter mais informações, consulte [Configurar e executar um trabalho de ajuste de hiperparâmetros](automatic-model-tuning-ex-tuning-job.md).
# Gerenciamento de chaves
Os clientes podem especificar AWS KMS chaves, incluindo traga suas próprias chaves (BYOK), para usar na criptografia de envelopes com buckets do Amazon input/output S3 e volumes de aprendizado de máquina (ML) do Amazon EBS. Volumes de ML para instâncias de notebook e para processamento, treinamento e contêineres Docker de modelo hospedado podem ser opcionalmente criptografados usando chaves de propriedade do AWS KMS cliente. Todos os volumes do sistema operacional da instância são criptografados com uma AWS KMS chave AWS gerenciada.
**nota**
Determinadas instâncias baseadas em Nitro incluem armazenamento local, dependendo do tipo de instância. Os volumes de armazenamento local são criptografados usando um módulo de hardware na instância. Não é possível solicitar um `VolumeKmsKeyId` ao usar um tipo de instância com armazenamento local.
Para obter uma lista de tipos de instância que oferecem apoio ao armazenamento de instâncias local, consulte [Volumes de armazenamento de instâncias](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/InstanceStorage.html#instance-store-volumes).
Para obter mais informações sobre criptografia de armazenamento de instâncias locais, consulte [Volumes de armazenamento de instâncias SSD](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ssd-instance-store.html).
Para obter mais informações sobre volumes de armazenamento em instâncias baseadas em nitro, consulte [Amazon EBS e NVMe sobre instâncias Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nvme-ebs-volumes.html)
Para obter informações sobre AWS KMS chaves, consulte [O que é o AWS Key Management Service?](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) no *Guia do AWS Key Management Service desenvolvedor*.
# Privacidade do tráfego entre redes
Este tópico descreve como a Amazon SageMaker AI protege as conexões do serviço para outros locais.
As comunicações entre redes oferecem apoio à criptografia TLS 1.2 entre todos os componentes e clientes. Recomendamos o TLS 1.3.
As instâncias podem ser conectadas à VPC do cliente, fornecendo acesso a endpoints da VPCs do S3 ou repositórios de clientes. A saída da Internet poderá ser gerenciada por meio dessa interface pelo cliente se a saída da Internet da plataforma de serviço estiver desabilitada para cadernos. Para treinamento e hospedagem, a saída pela plataforma de serviço não está disponível quando conectado à VPC do cliente.
Por padrão, as chamadas de API feitas para endpoints publicados atravessam a rede pública até o roteador de solicitação. SageMaker A IA oferece suporte aos endpoints da interface Amazon Virtual Private Cloud alimentados por AWS PrivateLink para conectividade privada entre a VPC do cliente e o roteador de solicitação para acessar os endpoints do modelo hospedado. Para obter mais informações sobre o Amazon VPC, consulte [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md).
# AWS Identity and Access Management para Amazon SageMaker AI
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos de SageMaker IA. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como a Amazon SageMaker AI funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade da Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
+ [Prevenção do problema "confused deputy" entre serviços](security-confused-deputy-prevention.md)
+ [Como usar funções de execução de SageMaker IA](sagemaker-roles.md)
+ [Gerente de SageMaker funções da Amazon](role-manager.md)
+ [Controle de acesso para cadernos](security-access-control.md)
+ [Permissões da API Amazon SageMaker AI: referência de ações, permissões e recursos](api-permissions-reference.md)
+ [AWS políticas gerenciadas para Amazon SageMaker AI](security-iam-awsmanpol.md)
+ [Solução de problemas de identidade e acesso ao Amazon SageMaker AI](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso ao Amazon SageMaker AI](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como a Amazon SageMaker AI funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade da Amazon SageMaker AI](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Grupos e usuários do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como a Amazon SageMaker AI funciona com o IAM
**Importante**
Políticas personalizadas do IAM que permitem que o Amazon SageMaker SageMaker Studio ou o Amazon Studio Classic criem SageMaker recursos da Amazon também devem conceder permissões para adicionar tags a esses recursos. A permissão para adicionar tags aos recursos é necessária porque o Studio e o Studio Classic marcam automaticamente todos os recursos que eles criam. Se uma política do IAM permitir que o Studio e o Studio Classic criem recursos, mas não permitisse a marcação, erros AccessDenied "" podem ocorrer ao tentar criar recursos. Para obter mais informações, consulte [Forneça permissões para marcar recursos de SageMaker IA](security_iam_id-based-policy-examples.md#grant-tagging-permissions).
[AWS políticas gerenciadas para Amazon SageMaker AI](security-iam-awsmanpol.md)que dão permissões para criar SageMaker recursos já incluem permissões para adicionar tags ao criar esses recursos.
Antes de usar o IAM para gerenciar o acesso à SageMaker IA, você deve entender quais recursos do IAM estão disponíveis para uso com a SageMaker IA. Para ter uma visão de alto nível de como a SageMaker IA e outros AWS serviços funcionam com o IAM, consulte [AWS Serviços que funcionam com o IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_aws-services-that-work-with-iam.html) na *Referência de autorização de serviço*.
**Topics**
+ [Políticas baseadas em identidade para Amazon AI SageMaker](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos na Amazon AI SageMaker](#security_iam_service-with-iam-resource-based-policies)
+ [Ações políticas para Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos de políticas para Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-resources)
+ [Chaves de condição de política para Amazon SageMaker AI](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Autorização baseada em tags de SageMaker IA](#security_iam_service-with-iam-tags)
+ [SageMaker Funções do AI IAM](#security_iam_service-with-iam-roles)
## Políticas baseadas em identidade para Amazon AI SageMaker
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. SageMaker A IA oferece suporte a ações, recursos e chaves de condição específicos. Para saber mais sobre todos os elementos usados em uma política JSON, consulte [Referência de elementos da política JSON do IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html) em *Referência de autorização de serviço*.
## Políticas baseadas em recursos na Amazon AI SageMaker
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou AWS serviços.
Para permitir o acesso entre contas, você pode especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Adicionar uma entidade principal entre contas à política baseada em recurso é apenas metade da tarefa de estabelecimento da relação de confiança. Quando a entidade principal e o recurso estão em contas AWS diferentes, um administrador do IAM da conta confiável também deve conceder à entidade principal (usuário ou perfil) permissão para acessar o recurso. Eles concedem permissão ao anexar uma política baseada em identidade para a entidade. No entanto, se uma política baseada em recurso conceder acesso a uma entidade principal na mesma conta, nenhuma política baseada em identidade adicional será necessária. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
**nota**
Use [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)para compartilhar com segurança os recursos de SageMaker IA compatíveis. Para encontrar a lista de recursos compartilháveis, consulte Recursos [compartilháveis de SageMaker IA da Amazon](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
## Ações políticas para Amazon SageMaker AI
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações políticas na SageMaker IA usam o seguinte prefixo antes da ação:`sagemaker:`. Por exemplo, para conceder permissão a alguém para executar um trabalho de treinamento de SageMaker IA com a operação da `CreateTrainingJob` API de SageMaker IA, você inclui a `sagemaker:CreateTrainingJob` ação na política dessa pessoa. As declarações de política devem incluir um `NotAction` elemento `Action` ou. SageMaker A IA define seu próprio conjunto de ações que descrevem as tarefas que você pode realizar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"sagemaker:action1",
"sagemaker:action2"
]
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "sagemaker:Describe*"
```
Para ver uma lista de ações de SageMaker IA, consulte [Ações, recursos e chaves de condição para Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html) na *Referência de Autorização de Serviço*.
## Recursos de políticas para Amazon SageMaker AI
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. As instruções devem incluir um elemento `Resource` ou `NotResource`. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Isso pode ser feito para ações que oferecem compatibilidade com um tipo de recurso específico, conhecido como *permissões em nível de recurso*.
Para ações que não oferecem compatibilidade com permissões em nível de recurso, como operações de listagem, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Para ver uma lista dos tipos de recursos de SageMaker IA da Amazon e seus ARNs, consulte as referências a seguir para ações, tipos de recursos e chaves de condição definidas pela Amazon SageMaker AI na *Referência de Autorização de Serviço*.
+ [ SageMaker Inteligência Artificial da Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html)
+ [Capacidades SageMaker geoespaciais da Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergeospatialcapabilities.html)
+ [Amazon SageMaker Ground Truth Synthetic](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakergroundtruthsynthetic.html)
+ [Amazon SageMaker AI com MLflow](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemakerwithmlflow.html)
Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pela Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
## Chaves de condição de política para Amazon SageMaker AI
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
SageMaker A IA define seu próprio conjunto de chaves de condição e também oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_condition-keys.html) na *Referência de autorização de serviço*.
SageMaker A IA oferece suporte a várias chaves de condição específicas do serviço que você pode usar para um controle de acesso refinado nas seguintes operações:
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html)
+ [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html)
Para ver uma lista de chaves de condição de SageMaker IA, consulte [Chaves de condição para Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pela Amazon SageMaker AI](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions).
Para exemplos de uso de chaves de condição de SageMaker IA, veja o seguinte:[Controle a criação de recursos de SageMaker IA com chaves de condição](security_iam_id-based-policy-examples.md#sagemaker-condition-examples).
### Exemplos
Para ver exemplos de políticas baseadas em identidade de SageMaker IA, consulte. [Exemplos de políticas baseadas em identidade da Amazon SageMaker AI](security_iam_id-based-policy-examples.md)
## Autorização baseada em tags de SageMaker IA
Você pode anexar tags aos recursos de SageMaker IA ou passar tags em uma solicitação para a SageMaker IA. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) de uma política usando as `sagemaker:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Para obter mais informações sobre a marcação de recursos de SageMaker IA, consulte[Controle o acesso aos recursos de SageMaker IA usando tags](security_iam_id-based-policy-examples.md#access-tag-policy).
Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Controle o acesso aos recursos de SageMaker IA usando tags](security_iam_id-based-policy-examples.md#access-tag-policy).
## SageMaker Funções do AI IAM
Uma [função do IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usando credenciais temporárias com IA SageMaker
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
SageMaker A IA suporta o uso de credenciais temporárias.
### Perfis vinculados ao serviço
SageMaker A IA oferece suporte parcial a [funções vinculadas a serviços](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Atualmente, as funções vinculadas ao serviço estão disponíveis para o SageMaker Studio Classic.
### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/service-authorization/latest/reference/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
SageMaker A IA oferece suporte às funções de serviço.
### Escolha de uma função do IAM na SageMaker IA
Ao criar uma instância de notebook, um trabalho de processamento, um trabalho de treinamento, um endpoint hospedado ou um recurso de trabalho de transformação em lote na SageMaker IA, você deve escolher uma função para permitir que a SageMaker IA acesse a SageMaker IA em seu nome. Se você já criou uma função de serviço ou uma função vinculada ao serviço, a SageMaker IA fornece uma lista de funções para você escolher. É importante escolher uma função que permita o acesso às AWS operações e aos recursos de que você precisa. Para obter mais informações, consulte [Como usar funções de execução de SageMaker IA](sagemaker-roles.md).
# Exemplos de políticas baseadas em identidade da Amazon SageMaker AI
Por padrão, os usuários e funções do IAM não têm permissão para criar ou modificar recursos de SageMaker IA. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões. Para saber como anexar políticas a um perfil do IAM ou grupo, consulte [Como adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_manage-attach-detach.html) na *Referência de autorização de serviço*.
Para saber como criar uma política baseada em identidade do IAM usando os exemplos de documentos de política JSON, consulte [Como criar políticas na guia JSON](https://docs.aws.amazon.com/service-authorization/latest/reference/access_policies_create.html#access_policies_create-json-editor).
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usando o console de SageMaker IA](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Controle a criação de recursos de SageMaker IA com chaves de condição](#sagemaker-condition-examples)
+ [Controle o acesso à API de SageMaker IA usando políticas baseadas em identidade](#api-access-policy)
+ [Limite o acesso à API de SageMaker IA e às chamadas de tempo de execução por endereço IP](#api-ip-filter)
+ [Limitar o acesso a uma instância de caderno por endereço IP](#nbi-ip-filter)
+ [Controle o acesso aos recursos de SageMaker IA usando tags](#access-tag-policy)
+ [Forneça permissões para marcar recursos de SageMaker IA](#grant-tagging-permissions)
+ [Limitar o acesso a recursos pesquisáveis com condições de visibilidade](#limit-access-to-searchable-resources)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos de SageMaker IA em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usando o console de SageMaker IA
Para acessar o console do Amazon SageMaker AI, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos de SageMaker IA em sua AWS conta. Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades com essa política. Isso inclui usuários ou funções com a política.
Para garantir que essas entidades ainda possam usar o console de SageMaker IA, você também deve anexar a seguinte política AWS gerenciada às entidades. Para obter mais informações, consulte [Como adicionar permissões a um usuário](https://docs.aws.amazon.com/service-authorization/latest/reference/id_users_change-permissions.html#users_change_permissions-add-console) na *Referência de autorização de serviço*:
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que corresponderem a operação da API que você estiver tentando executar.
**Topics**
+ [Permissões necessárias para usar o console Amazon SageMaker AI](#console-permissions)
+ [Permissões necessárias para usar o console Amazon SageMaker Ground Truth](#groundtruth-console-policy)
+ [Permissões necessárias para usar o console do Amazon Augmented AI (Preview)](#amazon-augmented-ai-console-policy)
### Permissões necessárias para usar o console Amazon SageMaker AI
A tabela de referência de permissões lista as operações da Amazon SageMaker AI API e mostra as permissões necessárias para cada operação. Para obter mais informações sobre as operações da Amazon SageMaker AI API, consulte[Permissões da API Amazon SageMaker AI: referência de ações, permissões e recursos](api-permissions-reference.md).
Para usar o console Amazon SageMaker AI, você precisa conceder permissões para ações adicionais. Especificamente, o console precisa de permissões que permitam que as `ec2` ações exibam sub-redes e VPCs grupos de segurança. Opcionalmente, o console precisa de permissão para criar *funções de execução* para tarefas como `CreateNotebook`, `CreateTrainingJob` e `CreateModel`. Conceda essas permissões com a seguinte política de permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*"
},
{
"Sid": "VpcConfigurationForCreateForms",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid":"KmsKeysForCreateForms",
"Effect":"Allow",
"Action":[
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource":"*"
},
{
"Sid": "AccessAwsMarketplaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListRepositories",
"codecommit:ListBranches",
"secretsmanager:CreateSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Sid":"ListAndCreateExecutionRoles",
"Effect":"Allow",
"Action":[
"iam:ListRoles",
"iam:CreateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy"
],
"Resource":"*"
},
{
"Sid": "DescribeECRMetaData",
"Effect": "Allow",
"Action": [
"ecr:Describe*"
],
"Resource": "*"
},
{
"Sid": "PassRoleForExecutionRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
### Permissões necessárias para usar o console Amazon SageMaker Ground Truth
Para usar o console do Amazon SageMaker Ground Truth, você precisa conceder permissões para recursos adicionais. Especificamente, o console precisa de permissões para:
+ o AWS Marketplace para ver as assinaturas,
+ as operações do Amazon Cognito gerenciarem sua força de trabalho privada;
+ as ações do Amazon S3 acessarem seus arquivos de entrada e saída;
+ AWS Lambda ações para listar e invocar funções
Conceda essas permissões com a seguinte política de permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GroundTruthConsole",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"groundtruthlabeling:DescribeConsoleJob",
"groundtruthlabeling:ListDatasetObjects",
"groundtruthlabeling:RunGenerateManifestByCrawlingJob",
"lambda:InvokeFunction",
"lambda:ListFunctions",
"s3:GetObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
### Permissões necessárias para usar o console do Amazon Augmented AI (Preview)
Para usar o console do Augmented AI, é necessário conceder permissões a recursos adicionais. Conceda essas permissões com a seguinte política de permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*Algorithm",
"sagemaker:*Algorithms",
"sagemaker:*App",
"sagemaker:*Apps",
"sagemaker:*AutoMLJob",
"sagemaker:*AutoMLJobs",
"sagemaker:*CodeRepositories",
"sagemaker:*CodeRepository",
"sagemaker:*CompilationJob",
"sagemaker:*CompilationJobs",
"sagemaker:*Endpoint",
"sagemaker:*EndpointConfig",
"sagemaker:*EndpointConfigs",
"sagemaker:*EndpointWeightsAndCapacities",
"sagemaker:*Endpoints",
"sagemaker:*Experiment",
"sagemaker:*Experiments",
"sagemaker:*FlowDefinitions",
"sagemaker:*HumanLoop",
"sagemaker:*HumanLoops",
"sagemaker:*HumanTaskUi",
"sagemaker:*HumanTaskUis",
"sagemaker:*HyperParameterTuningJob",
"sagemaker:*HyperParameterTuningJobs",
"sagemaker:*LabelingJob",
"sagemaker:*LabelingJobs",
"sagemaker:*Metrics",
"sagemaker:*Model",
"sagemaker:*ModelPackage",
"sagemaker:*ModelPackages",
"sagemaker:*Models",
"sagemaker:*MonitoringExecutions",
"sagemaker:*MonitoringSchedule",
"sagemaker:*MonitoringSchedules",
"sagemaker:*NotebookInstance",
"sagemaker:*NotebookInstanceLifecycleConfig",
"sagemaker:*NotebookInstanceLifecycleConfigs",
"sagemaker:*NotebookInstanceUrl",
"sagemaker:*NotebookInstances",
"sagemaker:*ProcessingJob",
"sagemaker:*ProcessingJobs",
"sagemaker:*RenderUiTemplate",
"sagemaker:*Search",
"sagemaker:*SearchSuggestions",
"sagemaker:*Tags",
"sagemaker:*TrainingJob",
"sagemaker:*TrainingJobs",
"sagemaker:*TransformJob",
"sagemaker:*TransformJobs",
"sagemaker:*Trial",
"sagemaker:*TrialComponent",
"sagemaker:*TrialComponents",
"sagemaker:*Trials",
"sagemaker:*Workteam",
"sagemaker:*Workteams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"sagemaker:*FlowDefinition"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:ListBranches",
"codecommit:ListRepositories",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob",
"glue:GetJobRun",
"glue:GetJobRuns",
"glue:GetJobs",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:PutLogEvents",
"sns:ListTopics"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:DescribeResourcePolicies",
"logs:GetLogDelivery",
"logs:ListLogDeliveries",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": "arn:aws:ecr:*:*:repository/*sagemaker*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
}
]
}
```
------
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Controle a criação de recursos de SageMaker IA com chaves de condição
Controle o acesso refinado para permitir a criação de recursos de SageMaker IA usando chaves de condição específicas de SageMaker IA. Para obter mais informações sobre o uso de chaves de condição em políticas do IAM, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
As chaves de condição, as ações de API relacionadas e os links para a documentação relevante estão listados em [Chaves de condição para SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-policy-keys) na *Referência de autorização de serviço*.
Os exemplos a seguir mostram como usar as chaves de condição de SageMaker IA para controlar o acesso.
**Topics**
+ [Controle o acesso aos recursos de SageMaker IA usando as chaves de condição do sistema de arquivos](#access-fs-condition-keys)
+ [Restringir o treinamento a uma VPC específica](#sagemaker-condition-vpc)
+ [Restringir o acesso a tipos de força de trabalho para trabalhos de rotulagem do Ground Truth e fluxos de trabalho do Amazon A2I Human Review](#sagemaker-condition-keys-labeling)
+ [Reforçar a criptografia dos dados de entrada](#sagemaker-condition-kms)
+ [Reforçar o isolamento da rede para trabalhos de treinamento](#sagemaker-condition-isolation)
+ [Impor um tipo de instância específico para trabalhos de treinamento](#sagemaker-condition-instance)
+ [Impor a desativação do acesso à internet e o acesso de raiz para criar instâncias de caderno](#sagemaker-condition-nbi-lockdown)
### Controle o acesso aos recursos de SageMaker IA usando as chaves de condição do sistema de arquivos
SageMaker O treinamento de IA fornece uma infraestrutura segura para a execução do algoritmo de treinamento, mas, em alguns casos, você pode querer uma defesa mais aprofundada. Por exemplo, você minimiza o risco de execução de código não confiável em seu algoritmo ou tem mandatos de segurança específicos em sua organização. Para esses cenários, você pode usar as chaves de condição específicas do serviço no elemento “Condição” de uma política do IAM para definir o escopo do usuário para:
+ sistemas de arquivos específicos
+ diretórios
+ modos de acesso (leitura e gravação, somente leitura)
+ grupos de segurança
**Topics**
+ [Restringir um usuário do IAM a diretórios e modos de acesso específicos](#access-fs-condition-keys-ex-dirs)
+ [Restringir um usuário a um sistema de arquivos específico](#access-fs-condition-keys-ex-fs)
#### Restringir um usuário do IAM a diretórios e modos de acesso específicos
A política a seguir restringe um usuário aos `/sagemaker/xgboost-dm/validation` diretórios `/sagemaker/xgboost-dm/train` e de um sistema de arquivos EFS para `ro` (somente leitura): AccessMode
**nota**
Quando um diretório é permitido, todos os subdiretórios também podem ser acessados pelo algoritmo de treinamento. As permissões POSIX são ignoradas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToElasticFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/train"
}
}
},
{
"Sid": "AccessToElasticFileSystemValidation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "EFS",
"sagemaker:FileSystemDirectoryPath": "/sagemaker/xgboost-dm/validation"
}
}
}
]
}
```
------
#### Restringir um usuário a um sistema de arquivos específico
Para evitar que um algoritmo mal-intencionado que usa um cliente de espaço do usuário acesse sistemas de arquivos diretamente em sua conta, você pode restringir o tráfego de rede. Para restringir o tráfego, permita o acesso somente de um grupo de segurança específico. No seguinte exemplo, o usuário do só pode usar o grupo de segurança especificado para acessar o sistema de arquivos:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToLustreFileSystem",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:FileSystemId": "fs-12345678",
"sagemaker:FileSystemAccessMode": "ro",
"sagemaker:FileSystemType": "FSxLustre",
"sagemaker:FileSystemDirectoryPath": "/fsx/sagemaker/xgboost/train"
},
"ForAllValues:StringEquals": {
"sagemaker:VpcSecurityGroupIds": [
"sg-12345678"
]
}
}
}
]
}
```
------
Este exemplo pode restringir um algoritmo a um sistema de arquivos específico. No entanto, isso não impede que um algoritmo acesse diretórios dentro do sistema de arquivos usando o cliente de espaço do usuário. Para atenuar isso:
+ Verifique se o sistema de arquivos contém apenas dados que você permite que usuários do acessem
+ Crie um perfil do IAM que restrinja seus usuários a iniciar trabalhos de treinamento com algoritmos de repositórios do ECR aprovados
Para obter mais informações sobre como usar funções com SageMaker IA, consulte [Funções de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles.html).
### Restringir o treinamento a uma VPC específica
Restrinja um AWS usuário a criar trabalhos de treinamento de dentro de uma Amazon VPC. Quando um trabalho de treinamento é criado em uma VPC, use os logs de fluxo da VPC para monitorar todo o tráfego de entrada e saída do cluster de treinamento. Para obter informações sobre como usar os logs de fluxo da VPC, consulte [Logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário do Amazon Virtual Private Cloud*.
A política a seguir impõe que um trabalho de treinamento seja criado por um usuário chamando [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) de dentro de uma VPC:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFromVpc",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"sagemaker:VpcSubnets": ["subnet-a1234"],
"sagemaker:VpcSecurityGroupIds": ["sg12345", "sg-67890"]
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
}
]
}
```
------
### Restringir o acesso a tipos de força de trabalho para trabalhos de rotulagem do Ground Truth e fluxos de trabalho do Amazon A2I Human Review
As equipes de trabalho do Amazon SageMaker Ground Truth e do Amazon Augmented AI se dividem em um dos [três tipos de força de trabalho:](https://docs.aws.amazon.com/sagemaker/latest/dg/sms-workforce-management.html)
+ público (com o Amazon Mechanical Turk)
+ privado
+ fornecedor
Você pode restringir o acesso do usuário a uma equipe de trabalho específica usando um desses tipos ou o ARN da equipe de trabalho. Para fazer isso, use `sagemaker:WorkteamType` and/or as teclas de `sagemaker:WorkteamArn` condição. Para a chave de condição `sagemaker:WorkteamType`, use [operadores de condição de string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String). Para a chave de condição `sagemaker:WorkteamArn`, use os [operadores de condição do nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_ARN). Se o usuário tentar criar um trabalho de rotulagem com uma equipe de trabalho restrita, a SageMaker IA retornará um erro de acesso negado.
As políticas abaixo demonstram maneiras diferentes de usar as chaves de condição `sagemaker:WorkteamType` e `sagemaker:WorkteamArn` com operadores de condição apropriados e valores de condição válidos.
O exemplo a seguir usa a chave de condição `sagemaker:WorkteamType` com o operador de condição `StringEquals` para restringir o acesso a uma equipe de trabalho pública. Ele aceita valores de condição no seguinte formato:`workforcetype-crowd`, onde *workforcetype* pode ser igual a `public``private`, ou`vendor`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:WorkteamType": "public-crowd"
}
}
}
]
}
```
------
As políticas a seguir mostram como restringir o acesso a uma equipe de trabalho pública usando a chave de condição `sagemaker:WorkteamArn`. O primeiro mostra como usá-lo com um regex-variant válido do ARN de equipe de trabalho e o operador de condição `ArnLike`. O segundo mostra como usá-lo com o operador de condição `ArnEquals` e o ARN da equipe de trabalho.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnLike": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:*:*:workteam/public-crowd/*"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RestrictWorkteamType",
"Effect": "Deny",
"Action": "sagemaker:CreateLabelingJob",
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:WorkteamArn": "arn:aws:sagemaker:us-west-2:394669845002:workteam/public-crowd/default"
}
}
}
]
}
```
------
### Reforçar a criptografia dos dados de entrada
A política a seguir restringe que o usuário especifique uma AWS KMS chave para criptografar os dados de entrada usando a chave de `sagemaker:VolumeKmsKey` condição ao criar:
+ treinamento
+ ajuste de hiperparâmetros
+ trabalhos de rotulagem
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceEncryption",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateFlowDefinition"
],
"Resource": "*",
"Condition": {
"ArnEquals": {
"sagemaker:VolumeKmsKey": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
}
}
]
}
```
------
### Reforçar o isolamento da rede para trabalhos de treinamento
A política a seguir restringe um usuário para habilitar o isolamento de rede ao criar trabalhos de treinamento usando a chave de condição `sagemaker:NetworkIsolation`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceIsolation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"Bool": {
"sagemaker:NetworkIsolation": "true"
}
}
}
]
}
```
------
### Impor um tipo de instância específico para trabalhos de treinamento
A política a seguir restringe um usuário a usar um tipo de instância específico ao criar trabalhos de treinamento usando a chave de condição `sagemaker:InstanceTypes`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnforceInstanceType",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateHyperParameterTuningJob"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"sagemaker:InstanceTypes": ["ml.c5.*"]
}
}
}
]
}
```
------
### Impor a desativação do acesso à internet e o acesso de raiz para criar instâncias de caderno
Você pode desabilitar o acesso à Internet e o acesso raiz a instâncias de caderno para ajudar a torná-las mais seguras. Para obter informações sobre como controlar o acesso de raiz a uma instância de caderno, consulte [Controle o acesso root a uma instância do SageMaker notebook](nbi-root-access.md). Para obter informações sobre como desabilitar o acesso à internet para uma instância de caderno, consulte [Conectar uma instância de caderno em uma VPC aos recursos externos](appendix-notebook-and-internet-access.md).
A política a seguir requer que um usuário desative o acesso à rede ao criar uma instância e desative o acesso raiz ao criar ou atualizar uma instância de caderno.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LockDownCreateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:CreateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:DirectInternetAccess": "Disabled",
"sagemaker:RootAccess": "Disabled"
},
"Null": {
"sagemaker:VpcSubnets": "false",
"sagemaker:VpcSecurityGroupIds": "false"
}
}
},
{
"Sid": "LockDownUpdateNotebookInstance",
"Effect": "Allow",
"Action": [
"sagemaker:UpdateNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:RootAccess": "Disabled"
}
}
}
]
}
```
------
## Controle o acesso à API de SageMaker IA usando políticas baseadas em identidade
Para controlar o acesso às chamadas da API de SageMaker IA e às chamadas para endpoints hospedados por SageMaker IA, use políticas de IAM baseadas em identidade.
**Topics**
+ [Restrinja o acesso à API de SageMaker IA e ao tempo de execução às chamadas de dentro da sua VPC](#api-access-policy-vpc)
### Restrinja o acesso à API de SageMaker IA e ao tempo de execução às chamadas de dentro da sua VPC
Se você configurar um endpoint de interface em sua VPC, indivíduos fora da VPC poderão se conectar à API de IA e SageMaker ao tempo de execução pela Internet. Para evitar isso, anexe uma política do IAM que restrinja o acesso às chamadas provenientes da VPC. Essas chamadas devem ser restritas a todos os usuários e grupos que têm acesso aos seus recursos de SageMaker IA. Para obter informações sobre como criar um endpoint de interface VPC para a API de SageMaker IA e o tempo de execução, consulte. [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
**Importante**
Se você aplicar uma política do IAM semelhante a uma das seguintes, os usuários não poderão acessar a SageMaker IA especificada APIs por meio do console.
Para restringir o acesso a apenas conexões feitas de dentro da sua VPC, crie uma política de AWS Identity and Access Management que restrinja o acesso. Esse acesso deve ser restrito somente às chamadas provenientes de sua VPC. Em seguida, adicione essa política a cada AWS Identity and Access Management usuário, grupo ou função usada para acessar a API de SageMaker IA ou o tempo de execução.
**nota**
Essa política permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Se você restringir o acesso à API apenas para chamadas feitas usando o endpoint de interface, use a chave de condição `aws:SourceVpce`, em vez de `aws:SourceVpc`:
------
#### [ JSON ]
****
```
{
"Id": "api-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableAPIAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
## Limite o acesso à API de SageMaker IA e às chamadas de tempo de execução por endereço IP
Você pode permitir o acesso a chamadas de API de SageMaker IA e invocações de tempo de execução somente a partir de endereços IP em uma lista especificada por você. Para fazer isso, crie uma política do IAM que negue o acesso à API, a menos que a chamada venha de um endereço IP na lista. Em seguida, anexe essa política a cada AWS Identity and Access Management usuário, grupo ou função usada para acessar a API ou o tempo de execução. Para obter informações sobre a criação de políticas do IAM, consulte [Criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html), no *Manual do usuário do IAM do AWS Identity and Access Management *.
Para especificar a lista de endereços IP que têm acesso à chamada de API, utilize:
+ Operador de condição `IpAddress`
+ Chaves de condição de contexto `aws:SourceIP`
Para obter informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), no *Guia do usuário do AWS Identity and Access Management *. Para obter informações sobre chaves de contexto de condição do IAM, consulte [Chaves globais de contexto de condição da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Por exemplo, a política a seguir permite acesso a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) somente a partir de endereços IP nos intervalos `192.0.2.0` - `192.0.2.255` e `203.0.113.0` - `203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreateTrainingJob",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
## Limitar o acesso a uma instância de caderno por endereço IP
Você pode permitir o acesso a uma instância do caderno somente a partir de endereços IP em uma lista especificada por você. Para fazer isso, crie uma política do IAM que negue o acesso ao [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html), a menos que a chamada venha de um endereço IP na lista. Em seguida, anexe essa política a cada AWS Identity and Access Management usuário, grupo ou função usada para acessar a instância do notebook. Para obter informações sobre a criação de políticas do IAM, consulte [Criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html), no *Manual do usuário do IAM do AWS Identity and Access Management *.
Para especificar a lista de endereços IP aos quais você deseja conceder acesso à instâncias de caderno, utilize:
+ Operador de condição `IpAddress`
+ Chaves de condição de contexto `aws:SourceIP`
Para obter informações sobre operadores de condição do IAM, consulte [Elementos de política JSON do IAM: operadores de condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), no *Guia do usuário do AWS Identity and Access Management *. Para obter informações sobre chaves de contexto de condição do IAM, consulte [Chaves globais de contexto de condição da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
Por exemplo, a política a seguir permite acesso a uma instância de caderno somente a partir de endereços IP nos intervalos `192.0.2.0`-`192.0.2.255` e `203.0.113.0`-`203.0.113.255`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
A política restringe o acesso à chamada para `CreatePresignedNotebookInstanceUrl` e à URL retornada pela chamada. A política também restringe o acesso à abertura de uma instâncias de caderno no console. Ela é aplicada para cada solicitação e WebSocket quadro HTTP que tenta se conectar à instância do notebook.
**nota**
Usar esse método para filtrar por endereço IP é incompatível ao [se conectar à SageMaker IA por meio de um endpoint de interface VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/interface-vpc-endpoint.html). . Para obter informações sobre como restringir o acesso a uma instância de caderno ao conectar-se por meio de um endpoint da interface VPC, consulte [Conectar-se a uma instância de caderno por meio de um endpoint de interface VPC](notebook-interface-endpoint.md).
## Controle o acesso aos recursos de SageMaker IA usando tags
Especifique tags em uma política do IAM para controlar o acesso a grupos de recursos de SageMaker IA. Use tags para implantar controle de acesso por atributo (ABAC). O uso de tags ajuda você a particionar o acesso aos recursos para grupos específicos de usuários. Você pode ter uma equipe com acesso a um grupo de atributos e uma equipe diferente com acesso a outro conjunto de atributos. Você pode fornecer condições `ResourceTag` nas políticas do IAM para fornecer acesso a cada grupo.
**nota**
As políticas baseadas em tag não funcionam para restringir as seguintes chamadas de API:
DeleteImageVersion
DescribeImageVersion
ListAlgorithms
ListCodeRepositories
ListCompilationJobs
ListEndpointConfigs
ListEndpoints
ListFlowDefinitions
ListHumanTaskUis
ListHyperparameterTuningJobs
ListLabelingJobs
ListLabelingJobsForWorkteam
ListModelPackages
ListModels
ListNotebookInstanceLifecycleConfigs
ListNotebookInstances
ListSubscribedWorkteams
ListTags
ListProcessingJobs
ListTrainingJobs
ListTrainingJobsForHyperParameterTuningJob
ListTransformJobs
ListWorkteams
Pesquisa
Um exemplo simples pode ajudar você a entender como usar tags para particionar recursos. Suponha que você tenha definido dois grupos diferentes do IAM, chamados `DevTeam1` e`DevTeam2`, em sua AWS conta. Você também criou 10 instâncias de caderno. Você está usando 5 das instâncias de caderno para um projeto. Você está usando os outros 5 para um segundo projeto. Você pode fornecer permissões ao `DevTeam1` para fazer chamadas de API nas instâncias de caderno que você está usando para o primeiro projeto. Você pode fornecer permissões ao `DevTeam2` para fazer chamadas de API em instâncias de caderno usadas para o segundo projeto.
O procedimento a seguir fornece um exemplo simples que ajuda você a entender o conceito de adicionar tags. Você pode usá-lo para implementar a solução descrita no parágrafo anterior.
**Para controlar o acesso a chamadas de APIs (exemplo)**
1. Adicione uma tag com a chave `Project` e o valor `A` às instâncias de caderno usadas no primeiro projeto. Para obter informações sobre como adicionar tags aos recursos de SageMaker IA, consulte [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html).
1. Adicione uma tag com a chave `Project` e o valor `B` às instâncias de caderno usadas no segundo projeto.
1. Crie uma política do IAM com uma condição `ResourceTag` que negue acesso às instâncias de caderno usadas para o segundo projeto. Em seguida, anexe essa política ao `DevTeam1`. A política de seguinte exemplo nega todas as chamadas da API em qualquer instância de caderno que tenha uma tag com uma chave de `Project` e um valor de `B`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "B"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
Para obter informações sobre como criar políticas do IAM e anexá-las a identidades, consulte [Controlar o acesso usando políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) no *Guia do usuário do AWS Identity and Access Management *.
1. Crie uma política do IAM com uma condição `ResourceTag` que negue acesso às instâncias de caderno usadas para o primeiro projeto. Em seguida, anexe essa política ao `DevTeam2`. A política de seguinte exemplo nega todas as chamadas da API em qualquer instância de caderno que tenha uma tag com uma chave de `Project` e um valor de `A`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "sagemaker:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:ResourceTag/Project": "A"
}
}
},
{
"Effect": "Deny",
"Action": [
"sagemaker:AddTags",
"sagemaker:DeleteTags"
],
"Resource": "*"
}
]
}
```
------
## Forneça permissões para marcar recursos de SageMaker IA
As [tags](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html) são rótulos de metadados que você pode anexar a determinados AWS recursos. Uma tag consiste de um par de chave-valor que fornece uma maneira flexível de anotar recursos com atributos de metadados para vários [casos de uso de marcação](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html), incluindo:
+ pesquisar
+ security
+ [atribuição de custos](https://docs.aws.amazon.com/whitepapers/latest/sagemaker-studio-admin-best-practices/cost-attribution.html)
+ controle de acesso
+ automação
Eles podem ser usados em permissões e políticas, cotas de serviços e integrações com outros AWS serviços. As tags podem ser definidas pelo usuário ou AWS geradas ao criar recursos. Isso depende se um usuário especifica manualmente as tags personalizadas ou se um serviço da AWS as gera automaticamente.
+ *Tags definidas pelo usuário* na SageMaker IA: os usuários podem adicionar tags ao criar recursos de SageMaker IA usando SageMaker SDKs a AWS CLI CLI SageMaker APIs SageMaker , o console de IA ou modelos. CloudFormation
**nota**
As tags definidas pelo usuário podem ser substituídas se um atributo for atualizado posteriormente e o valor da tag for alterado ou substituído. Por exemplo, um trabalho de treinamento criado com \$1Equipe: A\$1 pode ser atualizado incorretamente e remarcado como \$1Equipe: B\$1. Como resultado, as permissões permitidas podem ser atribuídas incorretamente. Portanto, deve-se tomar cuidado ao permitir que usuários ou grupos adicionem tags, pois eles podem substituir os valores de tags existentes. É bom definir um escopo rigoroso de permissões de tags e usar as condições do IAM para controlar as habilidades de marcação.
+ *AWS tags geradas* na SageMaker IA: a SageMaker IA marca automaticamente determinados recursos que cria. Por exemplo, o Studio e o Studio Classic atribuem automaticamente a `sagemaker:domain-arn` tag aos recursos de SageMaker IA que eles criam. A marcação de novos recursos com o ARN do domínio fornece rastreabilidade de como os recursos de IA, SageMaker como trabalhos de treinamento, modelos e endpoints, são originados. Para um controle e rastreamento mais precisos, novos recursos recebem tags adicionais, como:
+ `sagemaker:user-profile-arn`: o ARN do perfil do usuário que criou o recurso. Isso permite rastrear recursos criados por usuários específicos.
+ `sagemaker:space-arn`: o ARN do espaço no qual o recurso foi criado. Isso permite agrupar e isolar recursos por espaço.
**nota**
AWS as tags geradas não podem ser alteradas pelos usuários.
Para obter informações gerais sobre como marcar AWS recursos e melhores práticas, consulte Como [marcar seus AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) recursos. Para obter informações sobre os principais casos de uso de marcação, consulte [Casos de uso de marcação](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-use-cases.html).
### Conceda permissão para adicionar tags ao criar recursos de SageMaker IA
Você pode permitir que os usuários (*tags definidas pelo usuário*) ou o Studio e o Studio Classic (*tags AWS geradas*) adicionem tags aos novos recursos de SageMaker IA no momento da criação. Para fazer isso, as permissões do IAM devem incluir:
+ A SageMaker IA básica cria permissão para esse tipo de recurso.
+ A permissão `sagemaker:AddTags`.
Por exemplo, permitir que um usuário crie um trabalho de SageMaker treinamento e o marque exigiria a concessão de permissões para `sagemaker:CreateTrainingJob` e. `sagemaker:AddTags`
**Importante**
Políticas personalizadas do IAM que permitem que o Amazon SageMaker SageMaker Studio ou o Amazon Studio Classic criem recursos de SageMaker IA da Amazon também devem conceder permissões para adicionar tags a esses recursos. A permissão para adicionar tags aos recursos é necessária porque o Studio e o Studio Classic marcam automaticamente todos os recursos que eles criam. Se uma política do IAM permitir que o Studio e o Studio Classic criem recursos, mas não permitisse a marcação, erros AccessDenied "" podem ocorrer ao tentar criar recursos.
[AWS políticas gerenciadas para Amazon SageMaker AI](security-iam-awsmanpol.md)que dão permissões para criar recursos de SageMaker IA já incluem permissões para adicionar tags ao criar esses recursos.
Os administradores anexam essas permissões do IAM a:
+ AWS Funções do IAM atribuídas ao usuário para tags definidas pelo usuário
+ o perfil de execução usado pelo Studio ou Studio Classic para tags geradas pela AWS .
Para obter instruções sobre como criar e aplicar políticas personalizadas do IAM, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).
**nota**
A lista de operações de criação de recursos de SageMaker IA pode ser encontrada na [documentação da SageMaker API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations_Amazon_SageMaker_Service.html) pesquisando ações que começam com`Create`. Essas ações de criação, como `CreateTrainingJob` e`CreateEndpoint`, são as operações que criam novos recursos de SageMaker IA.
**Adicionar permissões de tag a determinadas ações de criação**
Você concede a permissão `sagemaker:AddTags` com restrições ao anexar uma política adicional do IAM à política original de criação de recursos. O exemplo de política a seguir permite`sagemaker:AddTags`, mas a restringe, apenas a determinadas ações de criação de recursos de SageMaker IA, como`CreateTrainingJob`.
```
{
"Sid": "AllowAddTagsForCreateOperations",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateTrainingJob"
}
}
}
```
A condição da política limita `sagemaker:AddTags` para ser usada junto com ações de criação específicas. Nessa abordagem, a política de permissão de criação permanece intacta, enquanto uma política adicional fornece acesso de `sagemaker:AddTags` restrito. A condição impede a permissão de `sagemaker:AddTags` geral ao limitá-la às ações de criação que precisam de tags. Isso implementa o menor privilégio, `sagemaker:AddTags` permitindo-o apenas para casos de uso específicos de criação de recursos de SageMaker IA.
**Exemplo: possibilitar a permissão de tag de modo geral e restringir ações de criação a um domínio**
Neste exemplo de política personalizada do IAM, as duas primeiras instruções ilustram o uso de tags para rastrear a criação de recursos. Ela permite a ação `sagemaker:CreateModel` em todos os recursos e a marcação desses recursos quando a ação é usada. A terceira instrução demonstra como os valores das tags podem ser usados para controlar as operações nos recursos. Nesse caso, impede a criação de quaisquer recursos de SageMaker IA marcados com um ARN de domínio específico, restringindo o acesso com base no valor da tag.
Em particular:
+ A primeira instrução permite a ação `CreateModel` em qualquer recurso (`*`).
+ A segunda instrução permite a ação `sagemaker:AddTags`, mas somente quando a chave de condição `sagemaker:TaggingAction` é igual ao `CreateModel`. Isso restringe a ação `sagemaker:AddTags` a somente quando ela está sendo usada para marcar um modelo recém-criado.
+ A terceira declaração nega qualquer ação de criação de SageMaker IA (`Create*`) em qualquer recurso (`*`), mas somente quando o recurso tem uma tag `sagemaker:domain-arn` igual a um `domain-arn` ARN de domínio específico,.
```
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"sagemaker:CreateModel"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"sagemaker:AddTags"
],
"Resource":"*",
"Condition":{
"String":{
"sagemaker:TaggingAction":[
"CreateModel"
]
}
}
},
{
"Sid":"IsolateDomain",
"Effect":"Deny",
"Resource":"*",
"Action":[
"sagemaker:Create*"
],
"Condition":{
"StringEquals":{
"aws:ResourceTag/sagemaker:domain-arn":"domain-arn"
}
}
}
]
}
```
## Limitar o acesso a recursos pesquisáveis com condições de visibilidade
Use condições de visibilidade para limitar o acesso de seus usuários a recursos marcados específicos em uma AWS conta. Seus usuários podem acessar somente os recursos para os quais têm permissões. Quando seus usuários estão pesquisando em recursos, eles podem limitar os resultados da pesquisa a recursos específicos.
Talvez você queira que seus usuários vejam e interajam apenas com os recursos associados a domínios específicos do Amazon SageMaker Studio ou do Amazon SageMaker Studio Classic. Você pode usar condições de visibilidade para limitar o acesso deles a um único domínio ou a vários domínios.
```
{
"Sid": "SageMakerApis",
"Effect": "Allow",
"Action": "sagemaker:Search",
"Resource": "*",
"Condition": {
"StringEquals": {
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Região da AWS:111122223333:domain/example-domain-1",
"sagemaker:SearchVisibilityCondition/Tags.sagemaker:example-domain-arn/EqualsIfExists": "arn:aws:sagemaker:Região da AWS:111122223333:domain/example-domain-2"
}
}
}
```
O formato geral de uma condição de visibilidade é `"sagemaker:SearchVisibilityCondition/Tags.key": "value"`. Você pode fornecer o par de valor-chave para qualquer recurso com tag.
```
{
"MaxResults": number,
"NextToken": "string",
"Resource": "string", # Required Parameter
"SearchExpression": {
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedFilters": [
{
"Filters": [
{
"Name": "string",
"Operator": "string",
"Value": "string"
}
],
"NestedPropertyName": "string"
}
],
"Operator": "string",
"SubExpressions": [
"SearchExpression"
]
},
"IsCrossAccount": "string",
"VisibilityConditions" : [ List of conditions for visibility
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Região da AWS:111122223333:domain/example-domain-1"},
{"Key": "Tags.sagemaker:example-domain-arn", "Value": "arn:aws:sagemaker:Região da AWS:111122223333:domain/example-domain-2"}
]
],
"SortBy": "string",
"SortOrder": "string"
}
```
A condição de visibilidade usa a mesma formatação `"sagemaker:SearchVisibilityCondition/Tags.key": "value"` especificada na política. Seus usuários podem especificar os pares de valores-chave usados para qualquer recurso marcado.
Se um usuário incluir o parâmetro `VisibilityConditions` em sua solicitação de [pesquisa](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html), mas a política de acesso que se aplica a esse usuário não contiver nenhuma chave de condição correspondente especificada `VisibilityConditions`, a solicitação `Search` ainda será permitida e será executada.
Se um parâmetro `VisibilityConditions` não for especificado na solicitação da API de [pesquisa](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) do usuário, mas a política de acesso que se aplica a esse usuário contiver chaves de condição relacionadas `VisibilityConditions`, a solicitação de `Search` do usuário será negada.
# Prevenção do problema "confused deputy" entre serviços
O [problema “confused deputy”](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy) é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Em AWS, o confuso problema do deputado pode surgir devido à falsificação de identidade entre serviços. A representação entre serviços pode ocorrer quando um serviço (o *serviço que faz a chamada*) invoca outro serviço (o *serviço chamado*) e aproveita as permissões elevadas do serviço chamado para usar recursos que o serviço que realizou a chamada não tem autorização para acessar. Para evitar o acesso não autorizado por meio do confuso problema do deputado, AWS fornece ferramentas para ajudar a proteger seus dados em todos os serviços. Essas ferramentas ajudam você a controlar as permissões concedidas às entidades principais de serviço, limitando o acesso somente aos recursos necessários em sua conta. Ao gerenciar cuidadosamente os privilégios de acesso das entidades principais de serviço, você pode ajudar a reduzir o risco de os serviços acessarem indevidamente dados ou recursos para os quais não deveriam ter permissões.
Continue lendo para obter orientações gerais ou navegue até um exemplo de um recurso específico de SageMaker IA:
**Topics**
+ [Limitar as permissões com chaves de condição globais](#security-confused-deputy-context-keys)
+ [SageMaker Gerente de borda](#security-confused-deputy-edge-manager)
+ [SageMaker Imagens](#security-confused-deputy-images)
+ [SageMaker Inferência de IA](#security-confused-deputy-inference)
+ [SageMaker Trabalhos de AI Batch Transform](#security-confused-deputy-batch)
+ [SageMaker AI Marketplace](#security-confused-deputy-marketplace)
+ [SageMaker Neo](#security-confused-deputy-neo)
+ [SageMaker Oleodutos](#security-confused-deputy-pipelines)
+ [SageMaker Trabalhos de processamento](#security-confused-deputy-processing-job)
+ [SageMaker Estúdio](#security-confused-deputy-studio)
+ [SageMaker Empregos de treinamento](#security-confused-deputy-training-job)
## Limitar as permissões com chaves de condição globais
Recomendamos usar as chaves de condição `[aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)` globais `[aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)` e as chaves de condição nas políticas de recursos para limitar as permissões ao recurso que a Amazon SageMaker AI fornece a outro serviço. Se você utilizar ambas as chaves de condição global e o valor `aws:SourceArn` contiver o ID da conta, o valor `aws:SourceAccount` e a conta no valor `aws:SourceArn` deverão utilizar o mesmo ID de conta quando utilizados na mesma declaração da política. Use `aws:SourceArn` se quiser que apenas um recurso seja associado ao acesso entre serviços. Use `aws:SourceAccount` se quiser permitir que qualquer recurso nessa conta seja associado ao uso entre serviços.
A maneira mais eficaz de se proteger contra o problema ‘confused deputy’ é usar a chave de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou estiver especificando vários recursos, use a chave de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, `arn:aws:sagemaker:*:123456789012:*`.
O exemplo a seguir mostra como você pode usar as chaves de condição `aws:SourceAccount` globais `aws:SourceArn` e as chaves de condição na SageMaker IA para evitar o confuso problema do substituto.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sagemaker:StartSession",
"Resource": "arn:aws:sagemaker:us-east-1:123456789012:ResourceName/*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
## SageMaker Gerente de borda
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substituto entre serviços do SageMaker Edge Manager, criado pelo número da conta *123456789012* na *us-west-2* região.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Você pode substituir o `aws:SourceArn` neste modelo pelo ARN completo de um trabalho de empacotamento específico para limitar ainda mais as permissões.
## SageMaker Imagens
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substitutos entre serviços do [SageMaker Images](https://docs.aws.amazon.com/sagemaker/latest/dg/studio-byoi.html). Use este modelo com um `[Image](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Image.html)` ou `[ImageVersion](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ImageVersion.html)`. Este exemplo usa um ARN de `ImageVersion` registro com o número da conta. *123456789012* Observe que, como o número da conta faz parte do valor `aws:SourceArn`, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-2:123456789012:image-version/*"
}
}
}
}
```
------
Não substitua o `aws:SourceArn` neste modelo pelo ARN completo de uma imagem ou versão de imagem específica. O ARN deve estar no formato fornecido acima e especificar `image` ou `image-version`. O `partition` espaço reservado deve designar uma partição AWS comercial (`aws`) ou uma partição AWS na China (`aws-cn`), dependendo de onde a imagem ou a versão da imagem estão sendo executadas. Da mesma forma, o `region` espaço reservado no ARN pode ser [qualquer região válida](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) em que as imagens SageMaker estejam disponíveis.
## SageMaker Inferência de IA
[O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substitutos entre serviços para inferência assíncrona, [em tempo real](https://docs.aws.amazon.com/sagemaker/latest/dg/realtime-endpoints) e [em tempo real](https://docs.aws.amazon.com/sagemaker/latest/dg/serverless-endpoints) de SageMaker IA.](https://docs.aws.amazon.com/sagemaker/latest/dg/async-inference) Observe que, como o número da conta faz parte do valor `aws:SourceArn`, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "sagemaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
}
```
------
Não substitua o `aws:SourceArn` neste modelo pelo ARN completo de um modelo ou endpoint específicos. O ARN deve estar no formato fornecido acima. O asterisco no modelo ARN não significa um curinga e não deve ser alterado.
## SageMaker Trabalhos de AI Batch Transform
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substitutos entre serviços para [trabalhos de transformação em lote](https://docs.aws.amazon.com/sagemaker/latest/dg/batch-transform.html) de SageMaker IA criados pelo número da conta *123456789012* na *us-west-2* região. Observe que, como o número da conta consta no ARN, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:transform-job/*"
}
}
}
]
}
```
------
Você pode substituir o `aws:SourceArn` neste modelo pelo ARN completo de um trabalho de transformação de lotes específico para limitar ainda mais as permissões.
## SageMaker AI Marketplace
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso entre serviços para recursos do SageMaker AI Marketplace criados pelo número da conta *123456789012* na *us-west-2* região. Observe que, como o número da conta consta no ARN, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Não substitua o `aws:SourceArn` neste modelo pelo ARN completo de um pacote de modelos ou algoritmo específicos. O ARN deve estar no formato fornecido acima. O asterisco no modelo ARN significa curinga e abrange todos os trabalhos de treinamento, modelos e trabalhos de transformação em lote das etapas de validação, bem como pacotes de algoritmos e modelos publicados no AI Marketplace. SageMaker
## SageMaker Neo
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substitutos entre serviços para trabalhos de compilação do SageMaker Neo criados pelo número da conta *123456789012* na *us-west-2* região. Observe que, como o número da conta consta no ARN, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:compilation-job/*"
}
}
}
]
}
```
------
Você pode substituir o `aws:SourceArn` neste modelo pelo ARN completo de um trabalho de compilação específico para limitar ainda mais as permissões.
## SageMaker Oleodutos
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substitutos entre serviços para [SageMaker pipelines](https://docs.aws.amazon.com/sagemaker/latest/dg/pipelines-overview.html) usando registros de execução de pipeline de um ou mais pipelines. Observe que, como o número da conta consta no ARN, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-east-1:123456789012:pipeline/mypipeline/*"
}
}
}
]
}
```
------
Não substitua o `aws:SourceArn` neste modelo pelo ARN completo de uma execução de pipeline específica. O ARN deve estar no formato fornecido acima. O `partition` espaço reservado deve designar uma partição AWS comercial (`aws`) ou uma partição AWS na China (`aws-cn`), dependendo de onde o pipeline está sendo executado. Da mesma forma, o `region` espaço reservado no ARN pode ser [qualquer região válida](https://docs.aws.amazon.com/sagemaker/latest/dg/regions-quotas.html) em que os pipelines SageMaker estejam disponíveis.
O asterisco no modelo ARN significa curinga e abrange todas as execuções de um pipeline chamado `mypipeline`. Se você quiser conceder as permissões `AssumeRole` para todos os pipelines na conta `123456789012` em vez de um pipeline específico, então o `aws:SourceArn` seria `arn:aws:sagemaker:*:123456789012:pipeline/*`.
## SageMaker Trabalhos de processamento
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substitutos entre serviços para SageMaker processar trabalhos criados pelo número da conta *123456789012* na *us-west-2* região. Observe que, como o número da conta consta no ARN, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:processing-job/*"
}
}
}
]
}
```
------
Você pode substituir o `aws:SourceArn` neste modelo pelo ARN completo de um trabalho de processamento específico para limitar ainda mais as permissões.
## SageMaker Estúdio
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substitutos entre serviços do SageMaker Studio, criado pelo número da conta *123456789012* na *us-west-2* região. Observe que, como o número da conta faz parte do valor `aws:SourceArn`, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:*"
}
}
}
]
}
```
------
Não substitua o `aws:SourceArn` neste modelo pelo ARN completo de uma aplicação, perfil de usuário ou domínio específico do Studio. O ARN deve estar no formato fornecido no exemplo anterior. O asterisco no modelo ARN não significa um curinga e não deve ser alterado.
## SageMaker Empregos de treinamento
O exemplo a seguir mostra como você pode usar a chave de condição `aws:SourceArn` global para evitar o problema confuso de substitutos entre serviços em empregos de SageMaker treinamento criados pelo número da conta *123456789012* na *us-west-2* região. Observe que, como o número da conta consta no ARN, você não precisa especificar um valor `aws:SourceAccount`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:sagemaker:us-west-2:123456789012:training-job/*"
}
}
}
]
}
```
------
Você pode substituir o `aws:SourceArn` neste modelo pelo ARN completo de um trabalho de treinamento específico para limitar ainda mais as permissões.
**A seguir**
Para obter mais informações sobre como gerenciar funções de execução, consulte [Funções de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-roles).
# Como usar funções de execução de SageMaker IA
A Amazon SageMaker AI realiza operações em seu nome usando outros AWS serviços. Você deve conceder permissões de SageMaker IA para usar esses serviços e os recursos sobre os quais eles atuam. Você concede essas permissões à SageMaker AI usando uma função de execução AWS Identity and Access Management (IAM). Para obter mais informações sobre perfis do IAM, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
Para criar e usar um perfil de execução, você pode usar os seguintes procedimentos:
## Criar perfil de execução
Use o procedimento a seguir para criar um perfil de execução com a política gerenciada do IAM `AmazonSageMakerFullAccess`, anexada. Se seu caso de uso exigir permissões mais granulares, use outras seções nesta página para criar um perfil de execução que atenda às suas necessidades comerciais. Você pode criar uma função de execução usando o console de SageMaker IA ou AWS CLI o.
**Importante**
A política gerenciada do IAM, `AmazonSageMakerFullAccess`, usada no procedimento a seguir, somente concede ao perfil de execução permissão para realizar determinadas ações do Amazon S3 em buckets ou objetos com `SageMaker`, `Sagemaker`, `sagemaker` ou `aws-glue` no nome. Para saber como adicionar uma política adicional a um perfil de execução para conceder acesso a outros buckets e objetos do Amazon S3, consulte. [Adicionar permissões adicionais do Amazon S3 a uma função de execução de SageMaker IA](#sagemaker-roles-get-execution-role-s3)
**nota**
Você pode criar uma função de execução diretamente ao criar um domínio de SageMaker IA ou uma instância de notebook.
Para obter informações sobre como criar um domínio de SageMaker IA, consulte[Guia para se configurar com o Amazon SageMaker AI](gs.md).
Para obter informações sobre como criar uma instância de caderno, consulte [Crie uma instância do Amazon SageMaker Notebook para o tutorial](gs-setup-working-env.md).
**Para criar uma nova função de execução a partir do console de SageMaker IA**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Escolha **Perfis** e, em seguida, selecione **Criar perfil**.
1. Mantenha o **AWS serviço** como o **tipo de entidade confiável** e, em seguida, use a seta para baixo para encontrar a **SageMaker IA** em **casos de uso de outros AWS serviços**.
1. Escolha **SageMaker AI — Execução** e, em seguida, escolha **Avançar**.
1. A política gerenciada pelo IAM `AmazonSageMakerFullAccess` é anexada automaticamente ao perfil. Para visualizar as permissões incluídas nessa política, escolha o sinal de mais (**\$1**) ao lado do nome da política. Escolha **Próximo**.
1. Insira um **Nome do perfil** e uma **Descrição**.
1. (Opcional) Adicione outras permissões e tags ao perfil.
1. Selecione **Criar perfil**.
1. Na seção **Perfis** do console do IAM, encontre o perfil que você acabou de criar. Se necessário, use a caixa de texto para pesquisar o perfil usando o nome do perfil.
1. Na página de resumo do perfil, anote o ARN.
**Para criar um novo perfil de execução a partir do console do AWS CLI**
Antes de criar uma função de execução usando o AWS CLI, certifique-se de atualizá-la e configurá-la seguindo as instruções em e[(Opcional) Configure o AWS CLI](gs-set-up.md#gs-cli-prereq), em seguida, continue com as instruções em[Configuração personalizada usando o AWS CLI](onboard-custom.md#onboard-custom-instructions-cli).
Depois de criar uma função de execução, você pode associá-la a um domínio de SageMaker IA, a um perfil de usuário ou a uma instância do notebook Jupyter.
+ Para saber como associar uma função de execução a um domínio de SageMaker IA existente, consulte[Editar configurações de domínio](domain-edit.md).
+ Para saber como associar um perfil de execução a um perfil do usuário existente, consulte [Adicionar perfis de usuário](domain-user-profile-add.md).
+ Para saber como associar um perfil de execução a uma instância de caderno existente, consulte [Atualizar uma instância de caderno](nbi-update.md).
Você também pode aprovar o ARN de um perfil de execução para sua chamada de API. Por exemplo, usando o [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable), você pode passar o ARN da sua função de execução para um estimador. No exemplo de código a seguir, criamos um estimador usando o contêiner do XGBoost algoritmo e passamos o ARN da função de execução como parâmetro. Para ver o exemplo completo de GitHub, consulte [Previsão de rotatividade de clientes com XGBoost](https://github.com/aws/amazon-sagemaker-examples/blob/89c54681b7e0f83ce137b34b879388cf5960af93/introduction_to_applying_machine_learning/xgboost_customer_churn/xgboost_customer_churn.ipynb).
```
import sagemaker, boto3
from sagemaker import image_uris
sess = sagemaker.Session()
region = sess.boto_region_name
bucket = sess.default_bucket()
prefix = "sagemaker/DEMO-xgboost-churn"
container = sagemaker.image_uris.retrieve("xgboost", region, "1.7-1")
xgb = sagemaker.estimator.Estimator(
container,
execution-role-ARN,
instance_count=1,
instance_type="ml.m4.xlarge",
output_path="s3://{}/{}/output".format(bucket, prefix),
sagemaker_session=sess,
)
...
```
### Adicionar permissões adicionais do Amazon S3 a uma função de execução de SageMaker IA
Quando você usa um recurso de SageMaker IA com recursos no Amazon S3, como dados de entrada, a função de execução especificada na sua solicitação (por exemplo`CreateTrainingJob`) é usada para acessar esses recursos.
Se você anexar a política gerenciada do IAM, `AmazonSageMakerFullAccess`, a um perfil de execução, esse perfil terá permissão para realizar determinadas ações do Amazon S3 em buckets ou objetos com`SageMaker`, `Sagemaker`, `sagemaker` ou `aws-glue` no nome. Ele também terá permissão para realizar as seguintes ações em qualquer recurso do Amazon S3:
```
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
```
Para conceder a um perfil de execução permissões para acessar um ou mais buckets específicos no Amazon S3, você pode anexar ao perfil uma política semelhante à seguinte: Essa política concede a um perfil do IAM permissão para realizar todas as ações que o `AmazonSageMakerFullAccess` permite, mas restringe esse acesso aos buckets amzn-s3-demo-bucket1 e amzn-s3-demo-bucket2. Consulte a documentação de segurança do recurso de SageMaker IA específico que você está usando para saber mais sobre as permissões do Amazon S3 necessárias para esse recurso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2"
]
}
]
}
```
------
## Obtenha um perfil de execução
Você pode usar o [console de SageMaker IA](https://console.aws.amazon.com/sagemaker), o [Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) ou o [AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)para recuperar o ARN e o nome da função de execução anexada a SageMaker um domínio, espaço ou perfil de usuário de IA.
**Topics**
+ [Obtenha um perfil de execução de domínio](#sagemaker-roles-get-execution-role-domain)
+ [Obtenha um perfil de execução de espaço](#sagemaker-roles-get-execution-role-space)
+ [Obtenha um perfil de execução](#sagemaker-roles-get-execution-role-user)
### Obtenha um perfil de execução de domínio
Veja a seguir instruções sobre como encontrar o perfil de execução do seu domínio.
#### Obtenha um perfil de execução do domínio (console)
**Encontre o perfil de execução anexado ao seu domínio**
1. Abra o console de SageMaker IA [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. No painel de navegação à esquerda, escolha **Domínios** em **Configurações de administrador**.
1. Escolha o link correspondente ao seu domínio.
1. Escolha a guia **Configurações do domínio**.
1. Na seção **Configurações gerais**, o ARN do perfil de execução está listado em **Perfil de execução**.
O nome do perfil de execução vem depois da última `/` no ARN do perfil de execução.
### Obtenha um perfil de execução de espaço
Veja a seguir instruções sobre como encontrar o perfil de execução do seu espaço.
#### Obtenha um perfil de execução de espaço (console)
**Encontre o perfil de execução anexado ao seu espaço**
1. Abra o console de SageMaker IA [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. No painel de navegação à esquerda, escolha **Domínios** em **Configurações de administrador**.
1. Escolha o link correspondente ao seu domínio.
1. Escolha a guia **Gerenciamento de espaço**.
1. Na seção **Detalhes**, o ARN do perfil de execução está listado em **Perfil de execução**.
O nome do perfil de execução vem depois da última `/` no ARN do perfil de execução.
#### Obtenha um perfil de execução de espaço (SDK para Python)
**nota**
O código a seguir deve ser executado em um ambiente de SageMaker IA, como qualquer outro IDEs no Amazon SageMaker Studio. Você receberá um erro se for executado `get_execution_role` fora de um ambiente de SageMaker IA.
O comando do [https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role](https://sagemaker.readthedocs.io/en/stable/api/utility/session.html#sagemaker.session.get_execution_role)[Amazon SageMaker Python SDK](https://sagemaker.readthedocs.io/en/stable) a seguir recupera o ARN da função de execução anexada ao espaço.
```
from sagemaker import get_execution_role
role = get_execution_role()
print(role)
```
O nome do perfil de execução vem depois da última `/` no ARN do perfil de execução.
### Obtenha um perfil de execução
Veja a seguir instruções sobre como encontrar o perfil de execução de um usuário.
#### Obtenha um perfil de execução de usuário (console)
**Encontre o perfil de execução anexado a um usuário**
1. Abra o console de SageMaker IA [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. No painel de navegação à esquerda, escolha **Domínios** em **Configurações de administrador**.
1. Escolha o link correspondente ao seu domínio.
1. Escolha a guia **Perfis de usuário**.
1. Escolha o link correspondente ao seu usuário.
1. Na seção **Detalhes**, o ARN do perfil de execução está listado em **Perfil de execução**.
O nome do perfil de execução vem depois da última `/` no ARN do perfil de execução.
#### Obtenha um perfil de execução de espaço (AWS CLI)
**nota**
Para usar os exemplos a seguir, você deve ter o AWS Command Line Interface (AWS CLI) instalado e configurado. Para mais informações, consulte [Conceitos básicos da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) no *Guia do usuário do AWS Command Line Interface para Version 2*.
O comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-caller-identity.html) AWS CLI a seguir exibe informações sobre a identidade do IAM usada para autenticar a solicitação. O chamador é um usuário do IAM.
```
aws sts get-caller-identity
```
O nome do perfil de execução vem depois da última `/` no ARN do perfil de execução.
## Mudar o perfil de execução
Uma função de execução é uma função do IAM que uma identidade de SageMaker IA (como um usuário, espaço ou domínio de SageMaker IA) assume. A alteração do perfil do IAM altera as permissões de todas as identidades que assumem esse perfil.
Quando você altera um perfil de execução, o perfil de execução do espaço correspondente também muda. Os efeitos da alteração podem levar algum tempo para se propagar.
+ Quando você altera o *perfil de execução de um usuário*, os *espaços privados* criados por esse usuário assumem o perfil de execução alterado.
+ Quando você altera o *perfil de execução padrão de um espaço*, os *espaços compartilhados* no domínio assumem o perfil de execução alterado.
Para obter mais informações sobre perfis de execução e espaços, consulte [Compreendendo as permissões de espaço e os perfis de execução do domínio](execution-roles-and-spaces.md).
Você pode alterar o perfil de execução de uma identidade para um perfil diferente do IAM usando uma das instruções a seguir.
Se, em vez disso, você quiser *modificar* uma função que uma identidade está assumindo, consulte [Modificar as permissões para o perfil de execução](#sagemaker-roles-modify-to-execution-role).
**Topics**
+ [Alterar o perfil de execução padrão do domínio](#sagemaker-roles-change-execution-role-domain)
+ [Alterar o perfil de execução padrão do espaço](#sagemaker-roles-change-execution-role-space)
+ [Alterar o perfil de execução do perfil de usuário](#sagemaker-roles-change-execution-role-user)
### Alterar o perfil de execução padrão do domínio
Veja a seguir instruções sobre como alterar o perfil de execução padrão do seu domínio.
#### Alterar o perfil de execução padrão do domínio (console)
**Alterar o perfil de execução padrão anexado ao seu domínio**
1. Abra o console de SageMaker IA [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. No painel de navegação à esquerda, escolha **Domínios** em **Configurações de administrador**.
1. Escolha o link correspondente ao seu domínio.
1. Escolha a guia **Configurações do domínio**.
1. Na seção **Configurações gerais**, escolha **Editar**.
1. Na seção **Permissões**, em **Perfil de execução padrão**, expanda a lista suspensa.
1. Na lista suspensa, você pode escolher um perfil existente, inserir um ARN do perfil do IAM personalizado ou criar um novo perfil.
Se você quiser criar uma nova função, poderá escolher a opção **Criar função usando o assistente de criação**.
1. Escolha “Avançar” nas etapas a seguir e selecione “Enviar” na última etapa.
### Alterar o perfil de execução padrão do espaço
Veja a seguir instruções sobre como alterar o perfil de execução padrão do seu espaço. A alteração desse perfil de execução mudará o perfil assumido por todos os espaços compartilhados no domínio.
#### Alterar o perfil de execução padrão do espaço (console)
**Alterar o perfil de execução padrão do espaço para quando você criar um novo espaço**
1. Abra o console de SageMaker IA [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. No painel de navegação à esquerda, escolha **Domínios** em **Configurações de administrador**.
1. Escolha o link correspondente ao seu domínio.
1. Escolha a guia **Configurações do domínio**.
1. Na seção **Configurações gerais**, escolha **Editar**.
1. Na seção **Permissões**, em **Perfil de execução padrão de espaço**, expanda a lista suspensa.
1. Na lista suspensa, você pode escolher um perfil existente, inserir um ARN do perfil do IAM personalizado ou criar um novo perfil.
Se você quiser criar uma nova função, poderá escolher a opção **Criar função usando o assistente de criação**.
1. Escolha **Avançar** nas etapas a seguir e selecione **Enviar** na última etapa.
### Alterar o perfil de execução do perfil de usuário
Veja a seguir instruções sobre como alterar o perfil de execução de um usuário. A alteração desse perfil de execução mudará o perfil assumido por todos os espaços privados criados por esse usuário.
#### Alterar o perfil de execução do perfil de usuário (console)
**Alterar o perfil de execução anexado a um usuário**
1. Abra o console de SageMaker IA [https://console.aws.amazon.com/sagemaker/](https://console.aws.amazon.com/sagemaker/)
1. No painel de navegação à esquerda, escolha **Domínios** em **Configurações de administrador**.
1. Escolha o link correspondente ao seu domínio.
1. Escolha a guia **Perfis de usuário**.
1. Escolha o link correspondente ao nome do perfil do usuário.
1. Escolha **Editar**.
1. Na lista suspensa, você pode escolher um perfil existente, inserir um ARN do perfil do IAM personalizado ou criar um novo perfil.
Se você quiser criar uma nova função, poderá escolher a opção **Criar função usando o assistente de criação**.
1. Escolha **Avançar** nas etapas a seguir e selecione **Enviar** na última etapa.
## Modificar as permissões para o perfil de execução
Você pode modificar as permissões existentes para a função de execução de uma identidade (como um usuário, espaço ou domínio de SageMaker IA). Isso é feito localizando o perfil apropriado do IAM que a identidade está assumindo e, em seguida, modificando esse perfil do IAM. O seguinte fornecerá instruções sobre como fazer isso por meio do console:
Quando você modifica um perfil de execução, o perfil de execução do espaço correspondente também muda. Os efeitos da mudança podem não ser imediatos.
+ Quando você modifica o *perfil de execução de um usuário*, os *espaços privados* criados por esse usuário assumem o perfil de execução modificado.
+ Quando você modifica o *perfil de execução padrão de um espaço*, os *espaços compartilhados* no domínio assumem o perfil de execução modificado.
Para obter mais informações sobre perfis de execução e espaços, consulte [Compreendendo as permissões de espaço e os perfis de execução do domínio](execution-roles-and-spaces.md).
Se, em vez disso, você quiser *alterar* uma função que uma identidade está assumindo, consulte [Mudar o perfil de execução](#sagemaker-roles-change-execution-role).
### Modificar permissões para o perfil de execução (console)
**Para modificar as permissões para seus perfis de execução**
1. Primeiro, obtenha o nome da identidade que você gostaria de modificar.
+ [Obtenha um perfil de execução de domínio](#sagemaker-roles-get-execution-role-domain)
+ [Obtenha um perfil de execução de espaço](#sagemaker-roles-get-execution-role-space)
+ [Obtenha um perfil de execução](#sagemaker-roles-get-execution-role-user)
1. Para modificar um perfil que uma identidade está assumindo, consulte [Como modificar uma função](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) no *Guia do usuário do AWS Identity and Access Management *.
Para obter mais informações e instruções sobre como adicionar permissões a identidades do IAM, consulte [Adicionar ou remover permissões de identidade](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
## Perfis de aprovação
Ações como passar uma função entre serviços são uma função comum na SageMaker IA. Você pode encontrar mais detalhes sobre [ações, recursos e chaves de condição para SageMaker IA](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) na *Referência de autorização de serviço*.
Você passa a função (`iam:PassRole`) ao fazer estas chamadas de API: [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFeatureGroup.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateMonitoringSchedule.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RenderUiTemplate.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) e [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html).
Você anexa a seguinte política de confiança à função do IAM, que concede permissões principais à SageMaker IA para assumir a função, e é a mesma para todas as funções de execução:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "sagemaker.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
As permissões que você precisa conceder ao perfil variam de acordo com a API chamada. As seções a seguir explicam essas permissões.
**nota**
Em vez de gerenciar permissões criando uma política de permissões, você pode usar a política de `AmazonSageMakerFullAccess` permissões AWS gerenciadas. As permissões nessa política são bastante amplas, para permitir qualquer ação que você queira realizar na SageMaker IA. Para obter uma listagem da política, incluindo informações sobre os motivos para adicionar muitas das permissões, consulte [AWS política gerenciada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess). Se você preferir criar políticas personalizadas e gerenciar permissões para definir o escopo das permissões somente para as ações que você precisa executar com o perfil de execução, consulte os tópicos a seguir.
**Importante**
Se você estiver enfrentando problemas, consulte [Solução de problemas de identidade e acesso ao Amazon SageMaker AI](security_iam_troubleshoot.md).
Para obter mais informações sobre os perfis do IAM, consulte [Perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) na *Referência de autorização de serviço*.
**Topics**
+ [Criar perfil de execução](#sagemaker-roles-create-execution-role)
+ [Obtenha um perfil de execução](#sagemaker-roles-get-execution-role)
+ [Mudar o perfil de execução](#sagemaker-roles-change-execution-role)
+ [Modificar as permissões para o perfil de execução](#sagemaker-roles-modify-to-execution-role)
+ [Perfis de aprovação](#sagemaker-roles-pass-role)
+ [CreateAutoMLJob e API CreateAuto MLJob V2: permissões da função de execução](#sagemaker-roles-autopilot-perms)
+ [CreateDomain API: Permissões da função de execução](#sagemaker-roles-createdomain-perms)
+ [CreateImage e UpdateImage APIs: Permissões da função de execução](#sagemaker-roles-createimage-perms)
+ [CreateNotebookInstance API: Permissões da função de execução](#sagemaker-roles-createnotebookinstance-perms)
+ [CreateHyperParameterTuningJob API: Permissões da função de execução](#sagemaker-roles-createhyperparametertiningjob-perms)
+ [CreateProcessingJob API: Permissões da função de execução](#sagemaker-roles-createprocessingjob-perms)
+ [CreateTrainingJob API: Permissões da função de execução](#sagemaker-roles-createtrainingjob-perms)
+ [CreateModel API: Permissões da função de execução](#sagemaker-roles-createmodel-perms)
+ [SageMaker funções de capacidades geoespaciais](sagemaker-geospatial-roles.md)
## CreateAutoMLJob e API CreateAuto MLJob V2: permissões da função de execução
Anexe a seguinte política de permissões mínimas ao perfil de execução se quiser passar uma solicitação de API `CreateAutoMLJob` ou `CreateAutoMLJobV2`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:InvokeEndpoint",
"sagemaker:ListTags",
"sagemaker:DescribeEndpoint",
"sagemaker:CreateModel",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateEndpoint",
"sagemaker:DeleteModel",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteEndpoint",
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Se você especificar uma VPC privada para o seu trabalho de AutoML, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se sua entrada for criptografada usando criptografia do lado do servidor com uma chave AWS gerenciada pelo KMS (SSE-KMS), adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se você especificar uma chave do KMS na configuração de saída do seu trabalho de AutoML, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se você especificar uma chave do KMS de volume na configuração de recursos do seu trabalho de AutoML, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateDomain API: Permissões da função de execução
A função de execução para domínios com o IAM Identity Center e a user/execution função para domínios IAM precisam das seguintes permissões quando você passa uma chave gerenciada pelo AWS KMS cliente como `KmsKeyId` na solicitação da `CreateDomain` API. As permissões são aplicadas durante a chamada da API `CreateApp`.
Anexe a seguinte política de permissões a um perfil de execução se quiser aprovar o perfil em uma solicitação de API `CreateDomain`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-east-1:111122223333:key/kms-key-id"
}
]
}
```
------
Como alternativa, se as permissões forem especificadas em uma política do KMS, você poderá anexar a seguinte política ao perfil:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:role/ExecutionRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
------
## CreateImage e UpdateImage APIs: Permissões da função de execução
Anexe a seguinte política de permissões a um perfil de execução se quiser passar o perfil em uma solicitação de API `CreateImage` ou `UpdateImage`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "*"
}
]
}
```
------
## CreateNotebookInstance API: Permissões da função de execução
As permissões concedidas ao perfil de execução para chamar a API `CreateNotebookInstance` dependem do que você pretende fazer com a instância de caderno. Se você planeja usá-la para invocar a SageMaker IA APIs e transmitir a mesma função ao chamar o `CreateTrainingJob` e `CreateModel` APIs, anexe a seguinte política de permissões à função:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"ecr:BatchCheckLayerAvailability",
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage",
"ecr:CreateRepository",
"cloudwatch:PutMetricData",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents",
"s3:CreateBucket",
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"ec2:CreateVpcEndpoint",
"ec2:DescribeRouteTables",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
}
]
}
```
------
Para restringir as permissões, limite-as a recursos específicos do Amazon S3 e do Amazon ECR. Basta restringir o `"Resource": "*"`, da seguinte forma:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:*",
"ecr:GetAuthorizationToken",
"cloudwatch:PutMetricData",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutLogEvents",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object1",
"arn:aws:s3:::outputbucket/path",
"arn:aws:s3:::inputbucket/object2",
"arn:aws:s3:::inputbucket/object3"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo1",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo2",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo3"
]
}
]
}
```
------
Se você planeja acessar outros recursos, como o Amazon DynamoDB ou o Amazon Relational Database Service, adicione permissões relevantes a essa política.
Na política anterior, você define o escopo da política da seguinte forma:
+ Defina o escopo da permissão `s3:ListBucket` ao bucket específico definido como `InputDataConfig.DataSource.S3DataSource.S3Uri` em uma solicitação `CreateTrainingJob`.
+ Defina o escopo das permissões `s3:GetObject `, `s3:PutObject` e `s3:DeleteObject` da seguinte forma:
+ Defina o escopo para os seguintes valores especificados em uma solicitação `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Defina o escopo para os seguintes valores especificados em uma solicitação `CreateModel`:
`PrimaryContainer.ModelDataUrl`
`SuplementalContainers.ModelDataUrl`
+ Defina o escopo das permissões `ecr` da seguinte forma:
+ Defina o escopo para o valor `AlgorithmSpecification.TrainingImage` especificado em uma solicitação `CreateTrainingJob`.
+ Defina o escopo para o valor `PrimaryContainer.Image` especificado em uma solicitação `CreateModel`:
As ações `cloudwatch` e `logs` são aplicáveis a recursos "\$1". Para obter mais informações, consulte [CloudWatch Recursos e operações](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) no Guia do CloudWatch usuário da Amazon.
## CreateHyperParameterTuningJob API: Permissões da função de execução
Anexe a seguinte política de permissões a um perfil de execução se quiser passar o perfil em uma solicitação de API `CreateHyperParameterTuningJob`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Em vez de especificar`"Resource": "*"`, você pode definir o escopo dessas permissões para recursos específicos do Amazon S3, Amazon ECR e Amazon CloudWatch Logs:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams"
],
"Resource": "arn:aws:logs:us-east-1:111122223333:log-group:/aws/sagemaker/TrainingJobs*"
}
]
}
```
------
Se o contêiner de treinamento associado ao trabalho de ajuste de hiperparâmetros precisar acessar outras fontes de dados, como recursos do DynamoDB ou do Amazon RDS, adicione permissões relevantes a essa política.
Na política anterior, você define o escopo da política da seguinte forma:
+ Defina o escopo da permissão `s3:ListBucket` a um bucket específico definido como `InputDataConfig.DataSource.S3DataSource.S3Uri` em uma solicitação `CreateTrainingJob`.
+ Defina o escopo das permissões `s3:GetObject ` e `s3:PutObject` para os seguintes objetos especificados na configuração dos dados de entrada e saída em uma solicitação `CreateHyperParameterTuningJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Defina o escopo das permissões do Amazon ECR para o caminho do registro (`AlgorithmSpecification.TrainingImage`) especificado em uma solicitação `CreateHyperParameterTuningJob`.
+ Defina o escopo das permissões do Amazon CloudWatch Logs para registrar um grupo de trabalhos de SageMaker treinamento.
As ações `cloudwatch` são aplicáveis a recursos "\$1". Para obter mais informações, consulte [ CloudWatch Recursos e operações](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-access-control-overview-cwl.html#CWL_ARN_Format) no Guia do CloudWatch usuário da Amazon.
Se você especificar uma VPC privada para o seu trabalho de ajuste de hiperparâmetros, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se sua entrada for criptografada usando criptografia do lado do servidor com uma chave AWS gerenciada pelo KMS (SSE-KMS), adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se você especificar uma chave KMS na configuração de saída do seu trabalho de ajuste de hiperparâmetros, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se você especificar uma chave KMS de volume na configuração de recursos do seu trabalho de ajuste de hiperparâmetros, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateProcessingJob API: Permissões da função de execução
Anexe a seguinte política de permissões a um perfil de execução se quiser passar o perfil em uma solicitação de API `CreateProcessingJob`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Em vez de especificar `"Resource": "*"`, você poderia definir o escopo destas permissões para recursos específicos do Amazon S3 e do Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Se `CreateProcessingJob.AppSpecification.ImageUri` precisar acessar outras fontes de dados, como os recursos do DynamoDB ou do Amazon RDS, adicione permissões relevantes a essa política.
Na política anterior, você define o escopo da política da seguinte forma:
+ Defina o escopo da permissão `s3:ListBucket` a um bucket específico definido como `ProcessingInputs` em uma solicitação `CreateProcessingJob`.
+ Defina como escopo das permissões `s3:GetObject ` e `s3:PutObject` os objetos que serão obtidos por download ou dos quais será feito upload no `ProcessingInputs` e no `ProcessingOutputConfig` em uma solicitação `CreateProcessingJob`.
+ Defina o escopo das permissões do Amazon ECR para o caminho do registro (`AppSpecification.ImageUri`) especificado em uma solicitação `CreateProcessingJob`.
As ações `cloudwatch` e `logs` são aplicáveis a recursos "\$1". Para obter mais informações, consulte [CloudWatch Recursos e operações](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) no Guia do CloudWatch usuário da Amazon.
Se você especificar uma VPC privada para o trabalho de processamento, adicione as seguintes permissões: Não defina o escopo da política com nenhuma condição ou filtro de recursos. Caso contrário, as verificações de validação que ocorrem durante a criação do trabalho de processamento falharão.
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se sua entrada for criptografada usando criptografia do lado do servidor com uma chave AWS gerenciada pelo KMS (SSE-KMS), adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se você especificar uma chave do KMS na configuração de saída do trabalho de processamento, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se você especificar uma chave do KMS de volume na configuração de recursos do trabalho de processamento, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateTrainingJob API: Permissões da função de execução
Anexe a seguinte política de permissões a um perfil de execução se quiser passar o perfil em uma solicitação de API `CreateTrainingJob`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Em vez de especificar `"Resource": "*"`, você poderia definir o escopo destas permissões para recursos específicos do Amazon S3 e do Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::inputbucket"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object",
"arn:aws:s3:::outputbucket/path"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
}
]
}
```
------
Se `CreateTrainingJob.AlgorithSpecifications.TrainingImage` precisar acessar outras fontes de dados, como os recursos do DynamoDB ou do Amazon RDS, adicione permissões relevantes a essa política.
Se você especificar um recurso de algoritmo usando o `AlgorithmSpecification.AlgorithmArn` parâmetro, a função de execução também deverá ter a seguinte permissão:
```
{
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAlgorithm"
],
"Resource": "arn:aws:sagemaker:*:*:algorithm/*"
}
```
Na política anterior, você define o escopo da política da seguinte forma:
+ Defina o escopo da permissão `s3:ListBucket` a um bucket específico definido como `InputDataConfig.DataSource.S3DataSource.S3Uri` em uma solicitação `CreateTrainingJob`.
+ Defina o escopo das permissões `s3:GetObject ` e `s3:PutObject` para os seguintes objetos especificados na configuração dos dados de entrada e saída em uma solicitação `CreateTrainingJob`:
`InputDataConfig.DataSource.S3DataSource.S3Uri`
`OutputDataConfig.S3OutputPath`
+ Defina o escopo das permissões do Amazon ECR para o caminho do registro (`AlgorithmSpecification.TrainingImage`) especificado em uma solicitação `CreateTrainingJob`.
As ações `cloudwatch` e `logs` são aplicáveis a recursos "\$1". Para obter mais informações, consulte [CloudWatch Recursos e operações](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) no Guia do CloudWatch usuário da Amazon.
Se você especificar uma VPC privada para o seu trabalho de treinamento, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
Se sua entrada for criptografada usando criptografia do lado do servidor com uma chave AWS gerenciada pelo KMS (SSE-KMS), adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
]
}
```
Se você especificar uma chave KMS na configuração de saída do seu trabalho de treinamento, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:Encrypt"
]
}
```
Se você especificar uma chave KMS de volume na configuração de recursos do seu trabalho de treinamento, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
]
}
```
## CreateModel API: Permissões da função de execução
Anexe a seguinte política de permissões a um perfil de execução se quiser passar o perfil em uma solicitação de API `CreateModel`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"s3:GetObject",
"s3:ListBucket",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": "*"
}
]
}
```
------
Em vez de especificar `"Resource": "*"`, você pode definir o escopo destas permissões para recursos específicos do Amazon S3 e do Amazon ECR:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::inputbucket/object"
]
},
{
"Effect": "Allow",
"Action": [
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage"
],
"Resource": [
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo",
"arn:aws:ecr:us-east-1:111122223333:repository/my-repo"
]
}
]
}
```
------
Se `CreateModel.PrimaryContainer.Image` precisar acessar outras fontes de dados, como os recursos do Amazon DynamoDB ou do Amazon RDS, adicione permissões relevantes a essa política.
Na política anterior, você define o escopo da política da seguinte forma:
+ Defina o escopo das permissões do S3 para os objetos especificados em `PrimaryContainer.ModelDataUrl` em uma solicitação [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
+ Defina o escopo das permissões do Amazon ECR para um caminho do registro específico definido como `PrimaryContainer.Image` e `SecondaryContainer.Image` em uma solicitação `CreateModel`.
As ações `cloudwatch` e `logs` são aplicáveis a recursos "\$1". Para obter mais informações, consulte [CloudWatch Recursos e operações](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-access-control-overview-cw.html#CloudWatch_ARN_Format) no Guia do CloudWatch usuário da Amazon.
**nota**
Se você planeja usar o [recurso de proteções de implantação de SageMaker IA](https://docs.aws.amazon.com/sagemaker/latest/dg/deployment-guardrails.html) para implantação de modelos na produção, certifique-se de que sua função de execução tenha permissão para realizar a `cloudwatch:DescribeAlarms` ação em seus alarmes de reversão automática.
Se você especificar uma VPC privada para o seu modelo, adicione as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
]
}
```
# SageMaker funções de capacidades geoespaciais
Como um serviço gerenciado, os recursos SageMaker geoespaciais da Amazon realizam operações em seu nome no AWS hardware gerenciado pela SageMaker IA. Use AWS Identity and Access Management para conceder acesso SageMaker geoespacial a usuários, grupos e funções.
Um administrador do IAM pode conceder essas permissões ao usuário, grupo ou função usando o Console de gerenciamento da AWS AWS CLI, ou um dos AWS SDKs.
**Para usar SageMaker geoespacial, você precisa das seguintes permissões do IAM.**
1. **Uma função de execução de SageMaker IA.**
Para usar as operações de API SageMaker geoespaciais específicas, sua função de execução de SageMaker IA deve incluir o principal do serviço SageMaker geoespacial `sagemaker-geospatial.amazonaws.com` na política de confiança da função de execução. Isso permite que a função de execução da SageMaker IA realize ações Conta da AWS em seu nome.
1. **Um usuário, grupo ou função que tem acesso ao Amazon SageMaker Studio Classic e às áreas SageMaker geoespaciais**
Para começar com SageMaker geoespacial, você pode usar a política AWS gerenciada:`AmazonSageMakerGeospatialFullAccess`. Essa concessão concederá a um usuário, grupo ou função acesso total à área SageMaker geoespacial. Para ver a política e saber mais sobre quais ações, recursos e condições estão disponíveis, consulte [AWS política gerenciada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
Para começar a usar o Studio Classic e criar um domínio Amazon SageMaker AI, consulte[Visão geral do domínio Amazon SageMaker AI](gs-studio-onboard.md).
Use os tópicos a seguir para criar uma nova função de execução de SageMaker IA, atualizar uma função de execução de SageMaker IA existente e aprender a gerenciar permissões usando ações, recursos e condições SageMaker geoespaciais específicos do IAM.
**Topics**
+ [Criação de uma nova função de execução de SageMaker IA](sagemaker-geospatial-roles-create-execution-role.md)
+ [Adicionando o principal do serviço SageMaker geoespacial a uma função de execução de SageMaker IA existente](sagemaker-geospatial-roles-pass-role.md)
+ [API `StartEarthObservationJob`: permissões do perfil de execução](sagemaker-roles-start-eoj-perms.md)
+ [API `StartVectorEnrichmentJob`: permissões do perfil de execução](sagemaker-roles-start-vej-perms.md)
+ [API `ExportEarthObservationJob`: permissões do perfil de execução](sagemaker-roles-export-eoj-perms.md)
+ [API `ExportVectorEnrichmentJob`: permissões do perfil de execução](sagemaker-roles-export-vej-perms.md)
# Criação de uma nova função de execução de SageMaker IA
Para trabalhar com recursos SageMaker geoespaciais, você deve configurar um usuário, grupo ou função e uma função de execução. Uma função de usuário é uma AWS identidade com políticas de permissões que determinam o que o usuário pode ou não fazer dentro dela AWS. Um perfil de execução é um perfil do IAM que concede ao serviço permissão para acessar seus recursos da AWS . Um perfil de execução consiste em permissões e política de confiança. A política de confiança especifica quais entidades principais têm permissão para assumir o perfil.
SageMaker geoespacial também requer um principal de serviço diferente,`sagemaker-geospatial.amazonaws.com`. Se você já é um cliente de SageMaker IA, deve adicionar esse principal de serviço adicional à sua política de confiança.
Use o procedimento a seguir para criar um novo perfil de execução com a política gerenciada do IAM `AmazonSageMakerGeospatialFullAccess`, anexada. Se seu caso de uso exigir permissões mais granulares, use outras seções neste guia para criar um perfil de execução que atenda às suas necessidades comerciais.
**Importante**
A política gerenciada do IAM, `AmazonSageMakerGeospatialFullAccess`, usada no procedimento a seguir, somente concede ao perfil de execução permissão para realizar determinadas ações do Amazon S3 em buckets ou objetos com `SageMaker`, `Sagemaker`, `sagemaker` ou `aws-glue` no nome. Para saber como atualizar a política de um perfil de execução para conceder acesso a outros buckets e objetos do Amazon S3, consulte [Adicionar permissões adicionais do Amazon S3 a uma função de execução de SageMaker IA](sagemaker-roles.md#sagemaker-roles-get-execution-role-s3).
**Criar um novo perfil**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Selecione **Perfis** e selecione **Criar perfil**.
1. Selecione **SageMaker**.
1. Selecione **Próximo: Permissões**.
1. A política gerenciada pelo IAM, `AmazonSageMakerGeospatialFullAccess`, é anexada automaticamente a esse perfil. Para visualizar as permissões incluídas nessa política, selecione a seta lateral ao lado do nome da política. Selecione **Próximo: Tags**.
1. (Opcional) Adicione tags e selecione **Próximo: Revisão**.
1. Dê um nome ao perfil no campo de texto em **Nome do perfil** e selecione **Criar perfil**.
1. Na seção **Perfis** do console do IAM, selecione o perfil que você acabou de criar na etapa 7. Se necessário, use a caixa de texto para pesquisar o perfil usando o nome do perfil que você informou na etapa 7.
1. Na página de resumo do perfil, anote o ARN.
# Adicionando o principal do serviço SageMaker geoespacial a uma função de execução de SageMaker IA existente
Para usar as operações de API SageMaker geoespaciais específicas, sua função de execução de SageMaker IA deve incluir o principal do serviço SageMaker geoespacial `sagemaker-geospatial.amazonaws.com` na política de confiança da função de execução. Isso permite que a função de execução da SageMaker IA realize ações Conta da AWS em seu nome.
Ações como passar uma função entre serviços são comuns na SageMaker IA. Para obter mais detalhes,
Para adicionar o principal do serviço SageMaker geoespacial a uma função de execução de SageMaker IA existente, atualize a política existente para incluir o principal do serviço SageMaker geoespacial, conforme mostrado na política de confiança a seguir. Ao vincular o diretor do serviço à política de confiança, uma função de execução de SageMaker IA agora pode executar o SageMaker geoespacial específico APIs em seu nome.
Para saber mais sobre ações, recursos e condições SageMaker geoespaciais específicas do IAM, consulte [Ações, recursos e chaves de condição para SageMaker IA](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonsagemaker.html#amazonsagemaker-actions-as-permissions) no *Guia do usuário do IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker-geospatial.amazonaws.com",
"sagemaker.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# API `StartEarthObservationJob`: permissões do perfil de execução
Anexe as seguintes políticas de permissões mínimas a um perfil de execução se quiser aprová-lo em uma solicitação de API `StartEarthObservationJob`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
Se seu bucket de entrada do Amazon S3 for criptografado usando criptografia do lado do servidor com uma chave AWS KMS gerenciada (SSE-KMS), consulte Usando chaves de bucket do [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obter mais informações.
# API `StartVectorEnrichmentJob`: permissões do perfil de execução
Anexe as seguintes políticas de permissões mínimas a um perfil de execução se quiser aprová-lo em uma solicitação de API `StartVectorEnrichmentJob`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
Se seu bucket de entrada do Amazon S3 for criptografado usando criptografia do lado do servidor com uma chave AWS KMS gerenciada (SSE-KMS), consulte Usando chaves de bucket do [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obter mais informações.
# API `ExportEarthObservationJob`: permissões do perfil de execução
Anexe as seguintes políticas de permissões mínimas a um perfil de execução se quiser aprová-lo em uma solicitação de API `ExportEarthObservationJob`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
}
]
}
```
------
Se seu bucket de entrada do Amazon S3 for criptografado usando criptografia do lado do servidor com uma chave AWS KMS gerenciada (SSE-KMS), consulte Usando chaves de bucket do [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html) para obter mais informações.
# API `ExportVectorEnrichmentJob`: permissões do perfil de execução
Anexe as seguintes políticas de permissões mínimas a um perfil de execução se quiser aprová-lo em uma solicitação de API `ExportVectorEnrichmentJob`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetVectorEnrichmentJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:vector-enrichment-job/*"
}
]
}
```
------
[Se seu bucket de entrada do Amazon S3 for criptografado usando criptografia do lado do servidor com uma chave AWS KMS gerenciada (SSE-KMS), consulte Usando chaves de bucket do Amazon S3.](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)
# Gerente de SageMaker funções da Amazon
Os administradores de aprendizado de máquina (ML) que buscam permissões com o mínimo de privilégios com a SageMaker Amazon AI devem levar em conta uma diversidade de perspectivas do setor, incluindo as necessidades exclusivas de acesso com privilégios mínimos exigidas por pessoas como cientistas de dados, engenheiros de operação () de aprendizado de máquina e muito mais. MLOps Use o Amazon SageMaker Role Manager para criar e gerenciar funções do IAM baseadas em personas para necessidades comuns de aprendizado de máquina diretamente por meio do console Amazon SageMaker AI.
O Amazon SageMaker Role Manager fornece 3 personas de função pré-configuradas e permissões predefinidas para atividades comuns de ML. Explore as personas fornecidas e suas políticas sugeridas ou crie e mantenha perfis para personas exclusivas de acordo com suas necessidades comerciais. Se você precisar de personalização adicional, especifique permissões de rede e criptografia para recursos e chaves de [AWS Key Management Service](https://aws.amazon.com/kms/)criptografia [Etapa 1. Inserir informações de perfil](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) da [Amazon Virtual Private Cloud](https://aws.amazon.com/vpc/) no Amazon SageMaker Role Manager.
**Topics**
+ [Usar o gerenciador de perfis (console)](role-manager-tutorial.md)
+ [Usar o gerente de perfis (AWS CDK)](role-manager-tutorial-cdk.md)
+ [Referência de persona](role-manager-personas.md)
+ [Referência da atividade de ML](role-manager-ml-activities.md)
+ [Execute o Studio Classic](role-manager-launch-notebook.md)
+ [Gerente de funções FAQs](role-manager-faqs.md)
# Usar o gerenciador de perfis (console)
Você pode usar o Amazon SageMaker Role Manager nos seguintes locais na navegação à esquerda do console Amazon SageMaker AI:
+ **Introdução**: Adicione rapidamente políticas de permissões para seus usuários.
+ **domínios** — Adicione políticas de permissões para usuários dentro de um domínio do Amazon SageMaker AI.
+ **Cadernos**: Adicione permissões mínimas para usuários que criam e executam cadernos.
+ **Treinamento**: Adicione permissões mínimas para usuários que criam e gerenciam trabalhos de treinamento.
+ **Inferência**: Adicione permissões mínimas para usuários que implantam e gerenciam modelos para inferência.
Você pode usar os procedimentos a seguir para iniciar o processo de criação de uma função em diferentes locais no console de SageMaker IA.
## Introdução
Se você estiver usando SageMaker IA pela primeira vez, recomendamos criar uma função na seção **Introdução**.
Para criar uma função usando o Amazon SageMaker Role Manager, faça o seguinte.
1. Abra o console do Amazon SageMaker AI.
1. No painel de navegação à esquerda, escolha **Configurações do administrador**.
1. Em **Configurações do administrador**, escolha **Gerente de perfis**.
1. Selecione **Criar perfil**.
## domínios
Você pode criar uma função usando o Amazon SageMaker Role Manager ao iniciar o processo de criação de um domínio Amazon SageMaker AI.
Para criar uma função usando o Amazon SageMaker Role Manager, faça o seguinte.
1. Abra o console do Amazon SageMaker AI.
1. No painel de navegação à esquerda, escolha **Configurações do administrador**.
1. Em **Configurações do administrador**, escolha **Domínios**.
1. Escolha **Criar domínio**.
1. Escolha **Criar perfil usando o assistente de criação de perfis**.
## Cadernos
Você pode criar uma função usando o Amazon SageMaker Role Manager ao iniciar o processo de criação de um notebook.
Para criar uma função usando o Amazon SageMaker Role Manager, faça o seguinte.
1. Abra o console do Amazon SageMaker AI.
1. No painel de navegação à esquerda, selecione **Caderno**.
1. Escolha **Instância de caderno**.
1. Escolha **Criar instância de caderno**.
1. Escolha **Criar perfil usando o assistente de criação de perfis**.
## Treinamento
Você pode criar uma função usando o Amazon SageMaker Role Manager ao iniciar o processo de criação de um trabalho de treinamento.
Para criar uma função usando o Amazon SageMaker Role Manager, faça o seguinte.
1. Abra o console do Amazon SageMaker AI.
1. No painel de navegação à esquerda, escolha **Treinamento**.
1. Escolha **Trabalhos de treinamento**.
1. Escolha **Criar trabalho de treinamento**.
1. Escolha **Criar perfil usando o assistente de criação de perfis**.
## Inferência
Você pode criar uma função usando o Amazon SageMaker Role Manager ao iniciar o processo de implantação de um modelo para inferência.
Para criar uma função usando o Amazon SageMaker Role Manager, faça o seguinte.
1. Abra o console do Amazon SageMaker AI.
1. No painel de navegação à esquerda, escolha **Inferência**.
1. Selecione **Modelos**.
1. Escolha **Criar modelo**.
1. Escolha **Criar perfil usando o assistente de criação de perfis**.
Depois de concluir um dos procedimentos anteriores, use as informações nas seções a seguir para ajudar a criar o perfil.
## Pré-requisitos
Para usar o Amazon SageMaker Role Manager, você deve ter permissão para criar uma função do IAM. Essa permissão geralmente está disponível para administradores e perfis de ML com permissões de privilégio mínimo para profissionais de ML.
Você pode assumir temporariamente uma função do IAM no Console de gerenciamento da AWS [trocando de funções](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Para obter mais informações sobre métodos para o uso de perfis, consulte [Utilizar perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) no *Guia do usuário do IAM*.
## Etapa 1. Inserir informações de perfil
Forneça um nome para usar como sufixo exclusivo da sua nova função de SageMaker IA. Por padrão, o prefixo `"sagemaker-"` é adicionado a cada nome de perfil para facilitar a pesquisa no console do IAM. Por exemplo, se você nomear seu perfil como `test-123` durante a criação do perfil, ele aparecerá como `sagemaker-test-123` no console do IAM. É possível adicionar uma descrição do perfil para fornecer mais detalhes.
Em seguida, escolha uma das personas disponíveis para obter permissões sugeridas para pessoas como cientistas de dados, engenheiros de dados ou engenheiros de operações de aprendizado de máquina (MLOps). Para obter informações sobre personas disponíveis e suas permissões sugeridas, consulte [Referência de persona](role-manager-personas.md). Para criar um perfil sem nenhuma sugestão de permissão para orientá-lo, escolha **Configurações de perfis personalizados**.
**nota**
Recomendamos que você primeiro use o gerenciador de funções para criar uma função de computação de SageMaker IA para que os recursos de computação de SageMaker IA tenham a capacidade de realizar tarefas como treinamento e inferência. Use a persona SageMaker AI Compute Role para criar essa função com o gerente de função. Depois de criar uma função de computação de SageMaker IA, anote seu ARN para uso futuro.
### Condições de rede e criptografia
Recomendamos que você ative a personalização da VPC para usar configurações, sub-redes e grupos de segurança da VPC com políticas do IAM associadas ao seu novo perfil. Quando a personalização da VPC é ativada, as políticas do IAM para atividades de ML que interagem com os recursos da VPC são reduzidas para acesso com privilégios mínimos. A personalização da VPC não é ativada por padrão. Para obter mais detalhes sobre a arquitetura de rede recomendada, consulte [Arquitetura de rede](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/networking-architecture.html) no *Guia Técnico da AWS *.
É possível usar uma chave do KMS para criptografar, descriptografar e recriptografar dados para workloads regulamentadas com dados altamente confidenciais. Quando a AWS KMS personalização é ativada, as políticas do IAM para atividades de ML que oferecem suporte a chaves de criptografia personalizadas são reduzidas para acesso com privilégios mínimos. Para obter mais informações, consulte [Criptografia com o AWS KMS](https://docs.aws.amazon.com/whitepapers/latest/build-secure-enterprise-ml-platform/encryption-with-kms.html) no *Guia do usuário da AWS *.
## Etapa 2. Configurar atividades de ML
Cada atividade de ML do Amazon SageMaker Role Manager inclui permissões sugeridas do IAM para fornecer acesso a AWS recursos relevantes. Algumas atividades de ML exigem que você adicione a função de serviço ARNs para concluir a configuração. Para obter informações sobre atividades de ML predefinidas e suas permissões, consulte [Referência da atividade de ML](role-manager-ml-activities.md). Para obter mais informações sobre a adição de perfis de serviço, consulte [Perfis de serviço](#role-manager-tutorial-configure-ml-activities-service-roles).
Com base na persona escolhida, determinadas atividades de ML já estão selecionadas. Você pode desmarcar qualquer atividade de ML sugerida ou selecionar atividades adicionais para criar seu próprio perfil. Se você selecionou a persona Configurações de perfis personalizados, nenhuma atividade de ML será pré-selecionada nesta etapa.
Você pode adicionar qualquer política de IAM adicional AWS ou gerenciada pelo cliente à sua função no. [Etapa 3: adicionar políticas e tags adicionais](#role-manager-tutorial-add-policies-and-tags)
### Perfis de serviço
Alguns AWS serviços exigem uma função de serviço para realizar ações em seu nome. Se a atividade de ML selecionada exigir que você aprove um perfil de serviço, você deverá fornecer o ARN para esse perfil de serviço.
Você pode criar uma nova função de serviço ou usar uma existente, como uma função de serviço criada com a persona SageMaker AI Compute Role. Você pode encontrar o ARN de um perfil existente selecionando o nome do perfil na seção Perfis do [console do IAM](https://console.aws.amazon.com/iamv2/). Para saber mais sobre funções de serviço, consulte [Criação de uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html).
## Etapa 3: adicionar políticas e tags adicionais
Você pode adicionar qualquer política de IAM existente AWS ou gerenciada pelo cliente à sua nova função. Para obter informações sobre as políticas de SageMaker IA existentes, consulte [Políticas AWS gerenciadas para Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html). Você também pode verificar suas políticas existentes na seção **Perfis** do [console do IAM](https://console.aws.amazon.com/iamv2/).
Opcionalmente, use condições de política baseadas em tags para atribuir informações de metadados para categorizar e gerenciar recursos. AWS Cada tag é representado por um par de chave-valor. Para obter mais informações, consulte [Controlar o acesso aos recursos AWS usando tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html).
## Perfil de revisão
Reserve um tempo para analisar todas as informações associadas ao seu novo perfil. Escolha **Anterior** para voltar e editar qualquer informação. Quando você estiver pronto para criar seu perfil, selecione **Criar**. Essa ação gera um perfil com permissões para suas atividades de ML selecionadas. Você pode ver seu novo perfil na seção **Perfis** do [console do IAM](https://console.aws.amazon.com/iamv2/).
# Usar o gerente de perfis (AWS CDK)
Use o AWS Cloud Development Kit (AWS CDK) com o Amazon SageMaker Role Manager para criar funções e definir permissões de forma programática. Você pode usar o AWS CDK para realizar qualquer tarefa que possa ser executada usando Console de gerenciamento da AWS o. O acesso programático do CDK facilita o fornecimento de permissões que dão aos usuários acesso a recursos específicos. Para obter mais informações sobre o AWS CDK, consulte [O que é AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html)
**Importante**
Você deve usar a persona SageMaker AI Compute Role para criar um SageMaker AI Compute Role. Para obter informações sobre a persona de computação, consulte [SageMaker Persona de computação com IA](role-manager-personas.md#role-manager-personas-compute). Para obter o código que você pode usar para criar a função de computação no AWS CDK, consulte[Conceder permissões a uma pessoa de computação](#role-manager-cdk-compute-persona).
Veja a seguir exemplos de tarefas que você pode realizar no AWS CDK:
+ Crie funções do IAM com permissões granulares para personalidades de aprendizado de máquina (ML), como cientistas de dados e MLOps engenheiros.
+ Conceda permissões para constructos de CDK a partir de personas de ML ou atividades de ML.
+ Defina os parâmetros da condição da atividade de ML.
+ Ative a Amazon VPC e AWS Key Management Service as condições globais e defina valores para elas.
+ Escolha entre todas as versões das atividades de ML para seus usuários sem causar interrupções no acesso.
Há AWS tarefas comuns relacionadas ao aprendizado de máquina (ML) com SageMaker IA que exigem permissões específicas do IAM. As permissões para realizar as tarefas são definidas como atividades de ML no Amazon SageMaker Role Manager. As atividades de ML especificam um conjunto de permissões vinculadas o perfil do IAM. Por exemplo, a atividade de ML do Amazon SageMaker Studio Classic tem todas as permissões que um usuário precisa para acessar o Studio Classic. Para obter mais informações sobre atividades de ML, consulte [Referência da atividade de ML](role-manager-ml-activities.md).
Ao criar perfis, você primeiro deve definir os constructos para a persona de ML ou a atividade de ML. Uma construção é um recurso dentro da AWS CDK pilha. Por exemplo, uma construção pode ser um bucket do Amazon S3, uma sub-rede do Amazon VPC ou um perfil do IAM.
Ao criar a persona ou atividade, você pode limitar as permissões associadas a essa persona ou atividade a recursos específicos. Por exemplo, você pode personalizar a atividade para fornecer permissões somente para uma sub-rede específica dentro de uma Amazon VPC.
Depois de definir as permissões, você pode criar funções e depois passar essas funções para criar outros recursos, como instâncias do SageMaker notebook.
Veja a seguir exemplos de código em Typescript para tarefas que você pode realizar usando o CDK. Ao criar uma atividade, você deve especificar um ID e as opções para a construção da atividade. As opções são dicionários que especificam os parâmetros necessários para as atividades, como um Amazon S3. Você passa um dicionário vazio para atividades que não têm parâmetros obrigatórios.
## Conceder permissões a uma pessoa de computação
O código a seguir cria uma persona de cientista de dados de ML com um conjunto de atividades de ML específicas para a persona. As permissões das atividades de ML se aplicam somente à Amazon VPC e às AWS KMS configurações especificadas na construção da persona. O código a seguir cria uma classe para uma persona de cientista de dados. As atividades de ML são definidas na lista de atividades. As permissões de VPC e de KMS são definidas como parâmetros opcionais fora da lista de atividades.
Depois de definir a classe, você pode criar uma função como uma construção na AWS CDK pilha. Você também pode criar uma instância de caderno. A pessoa que está usando a função do IAM que você criou no código a seguir pode acessar a instância do notebook ao fazer login na AWS conta.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.accessAwsServices(this, 'example-id1', {})
]
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Conceder permissões a uma persona de cientista de dados
O código a seguir cria uma persona de cientista de dados de ML com um conjunto de atividades de ML específicas para a persona. As permissões das atividades de ML se aplicam somente às configurações de VPC e do KMS especificadas na construção da persona. O código a seguir cria uma classe para uma persona de cientista de dados. As atividades de ML são definidas na lista de atividades. As permissões e as AWS KMS permissões da Amazon VPC são definidas como parâmetros opcionais fora da lista de atividades.
Depois de definir a classe, você pode criar uma função como uma construção na AWS CDK pilha. Você também pode criar uma instância de caderno. A pessoa que está usando a função do IAM que você criou no código a seguir pode acessar a instância do notebook ao fazer login na AWS conta.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageJobs(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageModels(this, 'example-id3', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageExperiments(this, 'example-id4', {}),
Activity.visualizeExperiments(this, 'example-id5', {}),
Activity.accessS3Buckets(this, 'example-id6', {s3buckets: [s3.S3Bucket.fromBucketName('amzn-s3-demo-bucket')]})
],
// optional: to configure VPC permissions
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
// optional: to configure KMS permissions
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
const notebookInstance = new CfnNotebookInstance(this, 'example-notebook-instance-name', { RoleArn: role.RoleArn, ...});
}
}
```
## Conceder permissões a uma persona de Operações de ML
O código a seguir cria uma persona de Operações de ML com um conjunto de atividades de ML específicas para a persona. As permissões das atividades de ML se aplicam somente à Amazon VPC e às AWS KMS configurações especificadas na construção da persona. O código a seguir cria uma classe para uma persona de Operações de ML. As atividades de ML são definidas na lista de atividades. As permissões de VPC e de KMS são definidas como parâmetros opcionais fora da lista de atividades.
Depois de definir a classe, você pode criar uma função como uma construção na AWS CDK pilha. Você também pode criar um perfil de usuário do Amazon SageMaker Studio Classic. A pessoa que está usando a função do IAM que você criou no código a seguir pode abrir o SageMaker Studio Classic ao fazer login na AWS conta.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = persona.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
let userProfile = new CfnNUserProfile(this, 'example-Studio Classic-profile-name', { RoleName: role.RoleName, ... });
}
}
```
## Conceder permissões para uma construção
O código a seguir cria uma persona de Operações de ML com um conjunto de atividades de ML específicas para a persona. O código a seguir cria uma classe para uma persona de Operações de ML. As atividades de ML são definidas na lista de atividades.
Depois de definir a classe, você pode criar uma função como uma construção na AWS CDK pilha. Você também pode criar uma instância de caderno. O código concede permissões das atividades de ML para o perfil do IAM da função do Lambda.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const persona = new Persona(this, 'example-persona-id', {
activities: [
Activity.runStudioAppsV2(this, 'example-id1', {}),
Activity.manageModels(this, 'example-id2', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.manageEndpoints(this, 'example-id3',{rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.managePipelines(this, 'example-id4', {rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')]}),
Activity.visualizeExperiments(this, 'example-id5', {})
],
});
const lambdaFn = lambda.Function.fromFunctionName('example-lambda-function-name');
persona.grantPermissionsTo(lambdaFn);
}
}
```
## Conceder permissões para uma única atividade de ML
O código a seguir cria uma atividade de ML e cria um perfil a partir da atividade. As permissões da atividade se aplicam somente à configuração de VPC e KMS que você especifica para o usuário.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
subnets: [ec2.Subnet.fromSubnetId('example-VPC-subnet-id')],
securityGroups: [ec2.SecurityGroup.fromSecurityGroupId('example-VPC-security-group-id')],
dataKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
volumeKeys: [kms.Key.fromKeyArn('example-KMS-key-ARN')],
});
const role = activity.createRole(this, 'example-IAM-role-id', 'example-IAM-role-name');
}
}
```
## Criar um perfil e conceder permissões para uma única atividade
O código a seguir cria um perfil do IAM para uma única atividade de ML.
```
export class myCDKStack extends cdk.Stack {
constructor(scope: cdk.App, id: string, props?: cdk.StackProps) {
super(scope, id, props);
const activity = Activity.manageJobs(this, 'example-activity-id', {
rolesToPass: [iam.Role.fromRoleName('example-IAM-role-name')],
});
activity.create_role(this, 'example-IAM-role-id', 'example-IAM-role-name')
}
}
```
# Referência de persona
O Amazon SageMaker Role Manager fornece permissões sugeridas para várias pessoas de ML. Isso inclui funções de execução de usuário para responsabilidades comuns de profissionais de ML, bem como funções de execução de serviços para interações AWS de serviço comuns necessárias para trabalhar com SageMaker IA.
Cada persona tem permissões sugeridas na forma de atividades de ML selecionadas. Para obter informações sobre atividades de ML predefinidas e suas permissões, consulte [Referência da atividade de ML](role-manager-ml-activities.md).
## Persona de cientista de dados
Use essa persona para configurar permissões para realizar o desenvolvimento e a experimentação geral de aprendizado de máquina em um ambiente de SageMaker IA. Essa persona inclui as seguintes atividades de ML pré-selecionadas:
+ Executar aplicações do Studio Classic
+ Gerenciar trabalhos de ML
+ Gerenciar modelos
+ Gerenciar AWS Glue tabelas
+ Serviços de IA do Canvas
+ Tela MLOps
+ Acesso ao Kendra do Canvas
+ Use MLflow
+ Acesso necessário aos AWS Serviços para MLflow
+ Executar aplicações do Studio EMR Sem Servidor
## MLOps persona
Escolha essa persona para configurar permissões para atividades operacionais. Essa persona inclui as seguintes atividades de ML pré-selecionadas:
+ Executar aplicações do Studio Classic
+ Gerenciar modelos
+ Gerenciar pipelines
+ Pesquisar e visualizar experimentos
+ Acesso total ao Amazon S3
## SageMaker Persona de computação com IA
**nota**
Recomendamos que você primeiro use o gerenciador de funções para criar uma função de computação de SageMaker IA para que os recursos de computação de SageMaker IA possam realizar tarefas como treinamento e inferência. Use a persona SageMaker AI Compute Role para criar essa função com o gerente de função. Depois de criar uma função de computação de SageMaker IA, anote seu ARN para uso futuro.
Essa persona inclui a seguinte atividade de ML pré-selecionada:
+ Acesse os AWS serviços necessários
# Referência da atividade de ML
As atividades de ML são AWS tarefas comuns relacionadas ao aprendizado de máquina com SageMaker IA que exigem permissões específicas do IAM. Cada [persona](https://docs.aws.amazon.com/sagemaker/latest/dg/role-manager-personas.html) sugere atividades de ML relacionadas ao criar uma função com o Amazon SageMaker Role Manager. Você pode selecionar qualquer atividade de ML adicional ou desmarcar atividades de ML sugeridas para criar um perfil que atenda às suas necessidades de negócios exclusivas.
O Amazon SageMaker Role Manager fornece permissões predefinidas para as seguintes atividades de ML:
****
| **Atividade de ML** | **Descrição** |
| --- | --- |
| Acesse os AWS serviços necessários | Permissões para acessar o Amazon S3, o Amazon ECR, o Amazon e o Amazon CloudWatch EC2. Necessárias para perfis de execução de trabalhos e endpoints. |
| Executar aplicações do Studio Classic | Permissões para operar em um ambiente do Studio Classic. Necessárias para perfis de execução de domínio e perfil de usuário. |
| Gerenciar trabalhos de ML | Permissões para auditar, consultar linhagem e visualizar experimentos. |
| Gerenciar modelos | Permissões para gerenciar trabalhos de SageMaker IA em seus ciclos de vida. |
| Gerenciar pipelines | Permissões para gerenciar SageMaker pipelines e execuções de pipelines. |
| Pesquisar e visualizar experimentos | Permissões para auditar, consultar linhagem e visualizar experimentos de SageMaker IA. |
| Gerenciar o monitoramento de modelos | Permissões para gerenciar os cronogramas de monitoramento do SageMaker AI Model Monitor. |
| Acesso total ao Amazon S3 | Permissões para realizar todas as operações do Amazon S3. |
| Acesso ao bucket do Amazon S3 | Permissões para realizar operações em buckets do Amazon S3 especificados. |
| Consultar grupos de trabalho do Athena | Permissões para executar e gerenciar consultas do Amazon Athena. |
| Gerenciar AWS Glue tabelas | Permissões para criar e gerenciar AWS Glue tabelas para o SageMaker AI Feature Store e o Data Wrangler. |
| SageMaker Acesso ao Canvas Core | Permissões para realizar experimentos no SageMaker Canvas (ou seja, preparação básica de dados, construção do modelo, validação). |
| SageMaker Preparação de dados do Canvas (desenvolvido pelo Data Wrangler) | Permissões para realizar a preparação de end-to-end dados no SageMaker Canvas (ou seja, agregar, transformar e analisar dados, criar e agendar trabalhos de preparação de dados em grandes conjuntos de dados). |
| SageMaker Serviços de IA do Canvas | Permissões para acessar ready-to-use modelos do Amazon Bedrock, Amazon Textract, Amazon Rekognition e Amazon Comprehend. Além disso, o usuário pode ajustar os modelos de base do Amazon Bedrock e da Amazon. SageMaker JumpStart |
| SageMaker Canvas MLOps | Permissão para usuários do SageMaker Canvas implantarem diretamente o modelo no endpoint. |
| SageMaker Canvas Kendra Access | Permissão para que o SageMaker Canvas acesse o Amazon Kendra para pesquisa de documentos corporativos. A permissão só é concedida aos nomes selecionados do índice no Amazon Kendra. |
| Use MLflow | Permissões para gerenciar experimentos, execuções e modelos em MLflow. |
| Gerenciar servidores MLflow de rastreamento | Permissões para gerenciar, iniciar e interromper servidores MLflow de rastreamento. |
| Acesso necessário aos AWS Serviços para MLflow | Permissões para servidores MLflow de rastreamento acessarem o S3, o Secrets Manager e o Model Registry. |
| Executar aplicações do Studio EMR Sem Servidor | Permissões para criar e gerenciar aplicativos EMR Serverless no Amazon Studio. SageMaker |
# Execute o Studio Classic
Use seus perfis que focam personas para executar o Studio Classic. Se você for administrador, poderá conceder aos usuários acesso ao Studio Classic e fazer com que eles assumam seu papel pessoal diretamente por meio do Console de gerenciamento da AWS ou por meio do Centro de Identidade do AWS IAM.
## Inicie o Studio Classic com Console de gerenciamento da AWS
Para que cientistas de dados ou outros usuários assumam a persona específica por meio do Console de gerenciamento da AWS, eles precisam de um perfil no console para acessar o ambiente do Studio Classic.
Você não pode usar o Amazon SageMaker Role Manager para criar uma função que conceda permissões para Console de gerenciamento da AWS o. No entanto, depois de criar um perfil de serviço no gerente de perfis, você pode acessar o console do IAM para editar o perfil e adicionar um perfil de acesso de usuário. Veja a seguir um exemplo de um perfil que fornece ao usuário acesso ao Console de gerenciamento da AWS:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeCurrentDomain",
"Effect": "Allow",
"Action": "sagemaker:DescribeDomain",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:domain/"
},
{
"Sid": "RemoveErrorMessagesFromConsole",
"Effect": "Allow",
"Action": [
"servicecatalog:ListAcceptedPortfolioShares",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:ListModels",
"sagemaker:ListTrainingJobs",
"servicecatalog:ListPrincipalsForPortfolio",
"sagemaker:ListNotebookInstances",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "RequiredForAccess",
"Effect": "Allow",
"Action": [
"sagemaker:ListDomains",
"sagemaker:ListUserProfiles"
],
"Resource": "*"
},
{
"Sid": "CreatePresignedURLForAccessToDomain",
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedDomainUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:user-profile//"
}
]
}
```
------
No ambiente de gerenciamento do Studio Classic, escolha **Adicionar usuário** para criar um novo usuário. Na seção **Configurações gerais**, dê um nome ao seu usuário e defina a **função de execução padrão** para que o usuário seja a função que você criou usando o Amazon SageMaker Role Manager.
Na próxima tela, escolha a versão apropriada do Jupyter Lab e se deseja ativar os modelos do SageMaker JumpStart SageMaker AI Project. Escolha **Próximo**. Na página de configurações do SageMaker Canvas, escolha se deseja ativar o suporte ao SageMaker Canvas e, além disso, se deseja permitir a previsão de séries temporais no Canvas. SageMaker Escolha **Enviar**.
Seu novo usuário deve ficar visível no ambiente de gerenciamento do Studio Classic. Para testar esse usuário, escolha **Studio** na lista suspensa **Executar aplicação** na mesma linha do nome do usuário.
## Executar o Studio Classic com o Centro de Identidade do IAM
Para atribuir aos usuários do IAM Identity Center perfis de execução, o usuário deve primeiro existir no diretório do IAM Identity Center. Para obter mais informações, consulte [Gerenciar identidades no IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) no *Centro de Identidade do AWS IAM*.
**nota**
Seu diretório de autenticação do Centro de Identidade do IAM e o domínio do Studio Classic devem estar na mesma Região da AWS.
1. Para atribuir usuários do Centro de Identidade do IAM ao seu domínio do Studio Classic, escolha **Atribuir usuários e grupos** no ambiente de gerenciamento do Studio Classic. Na tela **Atribuir usuários e grupos**, selecione seu usuário cientista de dados e escolha **Atribuir usuários e grupos**.
1. Depois que o usuário for adicionado ao ambiente de gerenciamento do Studio Classic, escolha o usuário para abrir a tela de detalhes de usuário.
1. Na tela **Detalhes do usuário**, escolha **Editar**.
1. Na tela **Editar perfil de usuário**, em **Configurações gerais**, modifique o **perfil de execução padrão** para corresponder ao perfil de execução do usuário que você criou para seus cientistas de dados.
1. Escolha **Próximo** nas demais páginas de configurações e escolha **Enviar** para salvar suas alterações.
Quando seu cientista de dados ou outro usuário fizer login no portal do Centro de Identidade do IAM, ele verá um bloco para esse domínio do Studio Classic. A escolha desse bloco o conecta ao Studio Classic com o perfil de execução de usuário atribuído.
# Gerente de funções FAQs
Consulte os seguintes itens de perguntas frequentes para obter respostas às perguntas mais frequentes sobre o Amazon SageMaker Role Manager.
## P: Como posso acessar o Amazon SageMaker Role Manager?
R: Você pode acessar o Amazon SageMaker Role Manager por meio de vários locais no console do Amazon SageMaker AI. Para obter informações sobre como acessar o gerente de perfis e usá-lo para criar um perfil, consulte [Usar o gerenciador de perfis (console)](role-manager-tutorial.md).
## P: O que são personas?
R: Personas são grupos pré-configurados de permissões com base em responsabilidades comuns de machine learning (ML). Por exemplo, a persona da ciência de dados sugere permissões para o desenvolvimento e a experimentação geral de aprendizado de máquina em um ambiente de SageMaker IA, enquanto a MLOps persona sugere permissões para atividades de ML relacionadas às operações.
## P: O que são atividades de ML?
R: As atividades de ML são AWS tarefas comuns relacionadas ao aprendizado de máquina com SageMaker IA que exigem permissões específicas do IAM. Cada persona sugere atividades de ML relacionadas ao criar uma função com o Amazon SageMaker Role Manager. As atividades de ML incluem tarefas como acesso total ao Amazon S3 ou pesquisa e visualização de experimentos. Para obter mais informações, consulte [Referência da atividade de ML](role-manager-ml-activities.md).
## P: As funções que eu crio com as funções de gerente de funções AWS Identity and Access Management (IAM) são?
R: Sim. As funções criadas usando o Amazon SageMaker Role Manager são funções do IAM com políticas de acesso personalizadas. Você pode visualizar seus perfis criados na seção **Perfis** do [console do IAM](https://console.aws.amazon.com/iamv2/).
## P: Como posso visualizar as funções que criei usando o Amazon SageMaker Role Manager?
R: Você pode visualizar os perfis criados na seção **Perfis** do [console do IAM](https://console.aws.amazon.com/iamv2/). Por padrão, o prefixo `"sagemaker-"` é adicionado a cada nome de perfil para facilitar a pesquisa no console do IAM. Por exemplo, se você nomear seu perfil como `test-123` durante a criação do perfil, ele aparecerá como `sagemaker-test-123` no console do IAM.
## P: Posso modificar uma função criada com o Amazon SageMaker Role Manager depois de criada?
R: Sim. Você pode modificar as funções e políticas criadas pelo Amazon SageMaker Role Manager por meio do [console do IAM](https://console.aws.amazon.com/iamv2/). Para obter mais informações, consulte [Modificar um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html) no *Guia do usuário do AWS Identity and Access Management *.
## P: Posso anexar minhas próprias políticas às funções criadas usando o Amazon SageMaker Role Manager?
R: Sim. Você pode anexar AWS qualquer política do IAM gerenciada pelo cliente da sua conta à função que você cria usando o Amazon SageMaker Role Manager.
## P: Quantas políticas posso adicionar a uma função que eu crio com o Amazon SageMaker Role Manager?
R: O limite máximo para anexar políticas gerenciadas a um perfil ou usuário do IAM é 20. O limite máximo de caracteres para políticas gerenciadas é 6.144. Para obter mais informações, consulte [Cotas de objetos do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities) e [requisitos de nome e limites de caracteres do IAM e das cotas AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html).
## P: Posso adicionar condições às atividades de ML?
R: Todas as condições fornecidas pelo Amazon SageMaker Role Manager, como sub-redes, grupos de segurança ou chaves KMS, são automaticamente passadas para qualquer atividade de ML selecionada em. [Etapa 1. Inserir informações de perfil](role-manager-tutorial.md#role-manager-tutorial-enter-role-information) [Etapa 2. Configurar atividades de ML](role-manager-tutorial.md#role-manager-tutorial-configure-ml-activities) Você também pode adicionar outras condições às atividades de ML, se necessário. Por exemplo, você também pode adicionar condições `InstanceTypes` ou `IntercontainerTrafficEncryption` à atividade Gerenciar trabalhos de treinamento.
## P: Posso usar a marcação para gerenciar o acesso a qualquer AWS recurso?
R: **** Você pode adicionar tags à sua função no [Etapa 3: adicionar políticas e tags adicionais](role-manager-tutorial.md#role-manager-tutorial-add-policies-and-tags) Amazon SageMaker Role Manager. Para gerenciar AWS recursos com êxito usando tags, você deve adicionar a mesma tag à função e a todas as políticas associadas. Por exemplo, você pode adicionar uma tag a um perfil e a um bucket do Amazon S3. Então, como a função passa a tag para a sessão de SageMaker IA, somente um usuário com essa função pode acessar esse bucket do S3. É possível adicionar tags a uma política por meio do [console do IAM](https://console.aws.amazon.com/iamv2/). Para obter mais informações, consulte [Marcar perfis do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags_roles.html) no *Guia do usuário do AWS Identity and Access Management *.
## P: Posso usar o Amazon SageMaker Role Manager para criar uma função para acessar o Console de gerenciamento da AWS?
R: Não. No entanto, depois de criar um perfil de serviço no gerente de perfis, você pode acessar o console do IAM para editar o perfil e adicionar um perfil de acesso humano no console do IAM.
## P: Qual é a diferença entre uma função de federação de usuários e uma função de execução de SageMaker IA?
R: Um perfil de federação de usuários é assumida diretamente por um usuário para acessar recursos AWS , como acesso ao Console de gerenciamento da AWS. Uma função de execução de SageMaker IA é assumida pelo serviço de SageMaker IA para realizar uma função em nome de um usuário ou de uma ferramenta de automação. Por exemplo, quando um usuário abre uma instância do Studio Classic, o Studio Classic assume o perfil de execução associado ao perfil do usuário para acessar recursos AWS em nome do usuário. Se o perfil do usuário não especificar uma função de execução, a função de execução será especificada no nível do domínio Amazon SageMaker AI.
## P: Se eu estiver usando uma aplicação da web personalizado que acessa o Studio Classic por meio de um URL pré-assinado, que função será usada?
R: Se você usa um aplicativo web personalizado para acessar o Studio Classic, então você tem uma função híbrida de federação de usuários e uma função de execução de SageMaker IA. Certifique-se de que esse perfil tenha permissões de privilégio mínimo para o que o usuário pode fazer e para o que o Studio pode fazer em nome do usuário associado.
## P: Posso usar o Amazon SageMaker Role Manager com a autenticação AWS do IAM Identity Center para meu domínio Studio Classic?
R: Os aplicativos de nuvem do Centro de Identidade do AWS IAM Studio Classic usam uma função de execução do Studio Classic para conceder permissões aos usuários federados. Esse perfil de execução pode ser especificado no nível do perfil de usuário do Centro de Identidade do IAM do Studio Classic ou no nível do domínio padrão. Identidades e grupos de usuários devem ser sincronizados no IAM Identity Center e o perfil de usuário do Studio Classic deve ser criado com a atribuição de usuário do IAM Identity Center usando. [CreateUserProfile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) Para obter mais informações, consulte [Executar o Studio Classic com o Centro de Identidade do IAM](role-manager-launch-notebook.md#role-manager-launch-notebook-iam-identity-center).
# Controle de acesso para cadernos
Você deve usar procedimentos diferentes para controlar o acesso aos notebooks e SageMaker instâncias de notebooks do Amazon SageMaker Studio Classic, pois eles têm ambientes de execução diferentes. O Studio Classic usa permissões de sistema de arquivos e contêineres para controlar o acesso aos cadernos do Studio Classic e isolar usuários. Uma instância do SageMaker notebook dá aos usuários que fazem login na instância do notebook acesso root padrão. Os tópicos a seguir descrevem como alterar as permissões para os dois tipos de cadernos.
**Topics**
+ [Controle de acesso e permissões de configuração para notebooks SageMaker Studio](security-access-control-studio-nb.md)
+ [Controle o acesso root a uma instância do SageMaker notebook](nbi-root-access.md)
# Controle de acesso e permissões de configuração para notebooks SageMaker Studio
O Amazon SageMaker Studio usa permissões de sistema de arquivos e contêiner para controle de acesso e isolamento de usuários e notebooks do Studio. Essa é uma das principais diferenças entre notebooks Studio e instâncias de SageMaker notebook. Este tópico descreve como as permissões são configuradas para evitar ameaças à segurança, o que a SageMaker IA faz por padrão e como o cliente pode personalizar as permissões. Para obter mais informações sobre cadernos do Studio e seu ambiente runtime, consulte [Use notebooks Amazon SageMaker Studio Classic](notebooks.md).
**SageMaker Permissões do aplicativo AI**
Um *usuário run-as* é um POSIX user/group usado para executar o JupyterServer aplicativo e os KernelGateway aplicativos dentro do contêiner.
O usuário run-as do JupyterServer aplicativo é sagemaker-user (1000) por padrão. Esse usuário tem permissões sudo para permitir a instalação de dependências, como pacotes yum.
O usuário run-as dos KernelGateway aplicativos é root (0) por padrão. Esse usuário pode instalar dependências usando o. pip/apt-get/conda
Devido ao remapeamento do usuário, nenhum usuário pode acessar recursos ou fazer alterações na instância do host.
**Remapeamento de usuário**
SageMaker A IA realiza o remapeamento do usuário para mapear um usuário dentro do contêiner para um usuário na instância hospedeira fora do contêiner. O intervalo de usuários IDs (0 a 65535) no contêiner é mapeado para um usuário sem privilégios IDs acima de 65535 na instância. Por exemplo, sagemaker-user (1000) dentro do contêiner pode mapear para o usuário (200001) na instância, onde o número entre parênteses é o ID do usuário. Se o cliente criar um novo user/group dentro do contêiner, ele não terá privilégios na instância hospedeira, independentemente do user/group ID. O usuário-raiz do contêiner também é mapeado para um usuário sem privilégios na instância. Para obter mais informações, consulte [Isolar contêineres com um namespace de usuário](https://docs.docker.com/engine/security/userns-remap/).
**nota**
Os arquivos criados pelo usuário sagemaker-user podem parecer pertencentes ao sagemaker-studio (uid 65534). Esse é um efeito colateral de um modo de criação rápida de aplicativos em que as imagens de contêiner de SageMaker IA são pré-extraídas, permitindo que os aplicativos sejam iniciados em menos de um minuto. Se sua aplicação exigir que o uid do proprietário do arquivo e o uid do proprietário do processo correspondam, peça ao serviço de atendimento ao cliente que remova o número da sua conta do atributo de pré-extração de imagens.
**Permissões de imagem personalizadas**
Os clientes podem trazer suas próprias SageMaker imagens personalizadas. Essas imagens podem especificar um run-as diferente user/group para iniciar o KernelGateway aplicativo. O cliente pode implementar um controle de permissão refinado dentro da imagem, por exemplo, para desativar o acesso raiz ou realizar outras ações. O mesmo remapeamento de usuário se aplica aqui. Para obter mais informações, consulte [Imagens personalizadas no Amazon SageMaker Studio Classic](studio-byoi.md).
**Isolamento de contêiner**
O Docker mantém uma lista dos recursos padrão que o contêiner pode usar. SageMaker A IA não adiciona recursos adicionais. SageMaker A IA adiciona regras de rota específicas para bloquear solicitações ao Amazon EFS e ao [serviço de metadados da instância](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service) (IMDS) do contêiner. Os clientes não podem alterar essas regras de rota a partir do contêiner. Para obter mais informações, consulte [Privilégio de runtime e recursos do Linux](https://docs.docker.com/engine/reference/run/#runtime-privilege-and-linux-capabilities).
**Acesso aos metadados de aplicação**
Os metadados usados pelas aplicações em execução são montados no contêiner com permissão somente para leitura. Os clientes não conseguem modificar esses metadados do contêiner. Para obter os metadados disponíveis, consulte [Obtenha metadados do notebook e do aplicativo Amazon SageMaker Studio Classic](notebooks-run-and-manage-metadata.md).
**Isolamento do usuário no EFS**
Quando você se integra ao Studio, a SageMaker IA cria um volume do Amazon Elastic File System (EFS) para seu domínio, que é compartilhado por todos os usuários do Studio no domínio. Cada usuário obtém seu próprio diretório pessoal privado no volume EFS. Esse diretório inicial é usado para armazenar os cadernos, repositórios Git e outros dados do usuário. Para impedir que outros usuários no domínio acessem os dados do usuário, a SageMaker IA cria uma ID de usuário globalmente exclusiva para o perfil do usuário e a aplica como uma user/group ID POSIX para o diretório inicial do usuário.
**Acesso ao EBS**
Um volume do Amazon Elastic Block Store (Amazon EBS) é anexado à instância do host e compartilhado em todas as imagens. Ele é usado para o volume raiz dos cadernos e armazena dados temporários que são gerados dentro do contêiner. O armazenamento não persiste quando a instância que executa os cadernos é excluída. O usuário-raiz dentro do contêiner não pode acessar o volume do EBS.
**Acesso ao IMDS**
Devido a questões de segurança, o acesso ao Serviço de Metadados de Instância (IMDS) do Amazon Elastic Compute Cloud (Amazon EC2) não está disponível no Studio. SageMaker Para obter mais informações sobre o IMDS, consulte [Metadados de instância e dados do usuário](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html).
# Controle o acesso root a uma instância do SageMaker notebook
Por padrão, quando você cria uma instância de caderno, os usuários que efetuam login nessa instância de caderno possuem acesso raiz. A ciência de dados é um processo iterativo que pode exigir que o cientista de dados teste e use diferentes pacotes e ferramentas de software, portanto, muitos usuários de instâncias de caderno precisam ter acesso raiz para poder instalar essas ferramentas e pacotes. Como os usuários com acesso raiz possuem privilégios de administrador, eles podem acessar e editar todos os arquivos em uma instância de caderno com acesso raiz habilitada.
Se você não deseja que os usuários tenham acesso raiz a uma instância de caderno, quando chamar as operações [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html), defina o campo `RootAccess` como `Disabled`. Você também pode desativar o acesso root para usuários ao criar ou atualizar uma instância de notebook no console Amazon SageMaker AI. Para mais informações, consulte [Crie uma instância do Amazon SageMaker Notebook para o tutorial](gs-setup-working-env.md).
**nota**
As configurações de ciclo de vida precisam de acesso raiz para poder configurar uma instância de caderno. Por causa disso, as configurações de ciclo de vida associadas a uma instância de caderno sempre são executadas com acesso raiz, ainda que você desabilite o acesso raiz para os usuários.
**nota**
Por motivos de segurança, o Docker sem raiz é instalado em instâncias de caderno com raiz desabilitada, em vez do Docker normal. Para obter mais informações, consulte [Executar o daemon do Docker como usuário não raiz (modo](https://docs.docker.com/engine/security/rootless/) sem raiz)
## Considerações sobre segurança
Os scripts de configuração do ciclo de vida são executados com acesso root e herdam todos os privilégios da função de execução do IAM da instância do notebook. Qualquer pessoa (incluindo administradores) que tenha permissões para criar ou modificar configurações de ciclo de vida e gerenciar instâncias de notebook pode executar código com as credenciais da função de execução. Portanto, siga as melhores práticas abaixo.
Práticas recomendadas:
+ Restrinja o acesso administrativo: conceda permissões de configuração do ciclo de vida somente a administradores confiáveis que entendam as implicações de segurança.
+ Aplique princípios de privilégio mínimo: defina funções de execução de instâncias de notebook com apenas as permissões mínimas necessárias para cargas de trabalho legítimas.
+ Ative o monitoramento: revise CloudWatch os registros regularmente para verificar as execuções da configuração do ciclo de vida no grupo de registros `/aws/sagemaker/NotebookInstances` para detectar atividades inesperadas.
+ Implemente controles de mudança: estabeleça processos de aprovação para mudanças na configuração do ciclo de vida em ambientes de produção.
# Permissões da API Amazon SageMaker AI: referência de ações, permissões e recursos
Use a tabela a seguir como referência ao configurar o controle de acesso e escrever uma política de permissões que você possa anexar a uma identidade do IAM (uma política baseada em identidade). A tabela lista cada operação da Amazon SageMaker AI API, as ações correspondentes para as quais você pode conceder permissões para realizar a ação e o AWS recurso para o qual você pode conceder as permissões. Você especifica as ações no campo `Action` da política e o valor do recurso no campo `Resource` da política.
**nota**
Exceto para a API `ListTags`, restrições no nível do recurso não estão disponíveis em chamadas `List-`. Qualquer usuário que chamar uma API `List-` verá todos os recursos desse tipo na conta.
Para expressar condições em suas políticas de SageMaker IA da Amazon, você pode usar chaves AWS de condição abrangentes. Para obter uma lista completa AWS de chaves abrangentes, consulte [Chaves disponíveis](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_elements.html#AvailableKeys) na *Referência de autorização de serviço*.
**Atenção**
Algumas ações SageMaker da API ainda podem estar acessíveis por meio do`[Search API](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html)`. Por exemplo, se um usuário tiver uma política do IAM que nega permissões para uma `Describe` chamada para um determinado recurso de SageMaker IA, esse usuário ainda poderá acessar as informações da descrição por meio da API de pesquisa. Para restringir totalmente o acesso do usuário às chamadas `Describe`, você também deve restringir o acesso à API de pesquisa. Para ver uma lista dos recursos de SageMaker IA que podem ser acessados por meio da API de pesquisa, consulte a [Referência de AWS CLI comandos de pesquisa do SageMaker AI](https://docs.aws.amazon.com/cli/latest/reference/sagemaker/search.html#options).
Use as barras de rolagem para ver o restante da tabela.
Operações da API Amazon SageMaker AI e permissões necessárias para ações
****
| Operações da API de SageMaker IA da Amazon | Permissões obrigatórias (ações de API): | Recursos |
| --- | --- | --- |
| `[ DeleteEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:DeleteEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ DeleteVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteVectorEnrichmentJob.html)` | `sagemaker-geospatial:DeleteVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ExportEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportEarthObservationJob.html)` | `sagemaker-geospatial:ExportEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ ExportVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ExportVectorEnrichmentJob.html)` | `sagemaker-geospatial:ExportVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ GetEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetEarthObservationJob.html)` | `sagemaker-geospatial:GetEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_DeleteEarthObservationJob.html)` | `sagemaker-geospatial:GetRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ GetTile](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetTile.html)` | `sagemaker-geospatial:GetTile` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ GetVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_GetVectorEnrichmentJob.html)` | `sagemaker-geospatial:GetVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListEarthObservationJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListEarthObservationJobs.html)` | `sagemaker-geospatial:ListEarthObservationJobs` | `*` |
| `[ ListRasterDataCollections](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListRasterDataCollections.html)` | `sagemaker-geospatial:ListRasterDataCollections` | `*` |
| `[ ListTagsForResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListTagsForResource.html)` | `sagemaker-geospatial:ListTagsForResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ ListVectorEnrichmentJobs](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_ListVectorEnrichmentJobs.html)` | `sagemaker-geospatial:ListVectorEnrichmentJobs` | `*` |
| `[ SearchRasterDataCollection](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_SearchRasterDataCollection.html)` | `sagemaker-geospatial:SearchRasterDataCollection` | `arn:aws:sagemaker-geospatial:region:account-id:raster-data-collection/public/id` |
| `[ StartEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartEarthObservationJob.html)` | `sagemaker-geospatial:StartEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StartVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StartVectorEnrichmentJob.html)` | `sagemaker-geospatial:StartVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ StopEarthObservationJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopEarthObservationJob.html)` | `sagemaker-geospatial:StopEarthObservationJob` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` |
| `[ StopVectorEnrichmentJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_StopVectorEnrichmentJob.html)` | `sagemaker-geospatial:StopVectorEnrichmentJob` | `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ TagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_TagResource.html)` | `sagemaker-geospatial:TagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ UntagResource](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_geospatial_UntagResource.html)` | `sagemaker-geospatial:UntagResource` | `arn:aws:sagemaker-geospatial:region:account-id:earth-observation-job/id` `arn:aws:sagemaker-geospatial:region:account-id:vector-enrichment-job/id` |
| `[ AddTags](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_AddTags.html)` | `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:*` |
| `[ CreateApp](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateApp.html)` | `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| `[ CreateAppImageConfig](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAppImageConfig.html)` | `sagemaker:CreateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| `[ CreateAutoMLJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJob.html)` | `sagemaker:CreateAutoMLJob` `iam:PassRole` A seguinte permissão é necessária apenas se qualquer `ResourceConfig` associado tiver um `VolumeKmsKeyId ` especificado e o perfil associado não tiver uma política que permita essa ação: `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateAutoMLJobV2.html) | `sagemaker:CreateAutoMLJobV2` `iam:PassRole` A seguinte permissão é necessária apenas se qualquer `ResourceConfig` associado tiver um `VolumeKmsKeyId ` especificado e o perfil associado não tiver uma política que permita essa ação: `kms:CreateGrant` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| `[ CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)` | `sagemaker:CreateDomain` `iam:CreateServiceLinkedRole` `iam:PassRole` Obrigatório se uma chave do KMS gerenciada pelo cliente for especificada para `KmsKeyId`: `elasticfilesystem:CreateFileSystem` `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKeyWithoutPlainText` Necessário para criar um domínio que ofereça suporte a RStudio: `sagemaker:CreateApp` | `arn:aws:sagemaker:region:account-id:domain/domain-id` |
| `[ CreateEndpoint](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpoint.html)` | `sagemaker:CreateEndpoint` `kms:CreateGrant` (obrigatório somente se o `EndPointConfig` associado tiver um `KmsKeyId` especificado) | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateEndpointConfig.html) | `sagemaker:CreateEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateFlowDefinition.html) | `sagemaker:CreateFlowDefinition` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHumanTaskUi.html) | `sagemaker:CreateHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html) | `sagemaker:CreateInferenceRecommendationsJob` `iam:PassRole` As seguintes permissões são necessárias somente se você especificar uma chave de criptografia: `kms:CreateGrant` `kms:Decrypt` `kms:DescribeKey` `kms:GenerateDataKey` | `arn:aws:sagemaker:region:account-id:inference-recommendations-job/inferenceRecommendationsJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) | `sagemaker:CreateHyperParameterTuningJob` `iam:PassRole` A seguinte permissão é necessária apenas se qualquer `ResourceConfig` associado tiver um `VolumeKmsKeyId ` especificado e o perfil associado não tiver uma política que permita essa ação: `kms:CreateGrant` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImage.html) | `sagemaker:CreateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateImageVersion.html) | `sagemaker:CreateImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateLabelingJob.html) | sábio: CreateLabelingJob objetivo: PassRole | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html) | `sagemaker:CreateModel` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackage.html) | `sagemaker:CreateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModelPackageGroup.html) | `sagemaker:CreateModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateNotebookInstance.html) | `sagemaker:CreateNotebookInstance` `iam:PassRole` As seguintes permissões são necessárias apenas se você especificar uma VPC para sua instância de caderno: `ec2:CreateNetworkInterface` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` As seguintes permissões são necessárias somente se você especificar uma chave de criptografia: `kms:DescribeKey` `kms:CreateGrant` A seguinte permissão é necessária somente se você especificar um segredo do AWS Secrets Manager para acessar um repositório privado do Git: `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePipeline.html) | `sagemaker:CreatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html) | `sagemaker:CreatePresignedDomainUrl` | `arn:aws:sagemaker:region:account-id:app/domain-id/userProfileName`/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) | `sagemaker:CreatePresignedNotebookInstanceUrl` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html) | `sagemaker:CreateProcessingJob` `iam:PassRole` `kms:CreateGrant` (necessário apenas se o `ProcessingResources` associado tiver um `VolumeKmsKeyId` especificado e o perfil associado não tiver uma política que permita essa ação) `ec2:CreateNetworkInterface` (obrigatório somente se você especificar uma VPC) | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| `[ CreateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateSpace.html)` | `sagemaker:CreateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateStudioLifecycleConfig.html) | `sagemaker:CreateStudioLifecycleConfig` | `arn:aws:sagemaker:region:account-id:studio-lifecycle-config/.*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html) | `sagemaker:CreateTrainingJob` `iam:PassRole` `kms:CreateGrant` (necessário apenas se o `ResourceConfig` associado tiver um `VolumeKmsKeyId` especificado e o perfil associado não tiver uma política que permita essa ação) | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingPlan.html) | `sagemaker:CreateTrainingPlan` `sagemaker:CreateReservedCapacity` `sagemaker:AddTags` | `arn:aws:sagemaker:region:account-id:training-plan/*"` `arn:aws:sagemaker:region:account-id:reserved-capacity/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html) | `sagemaker:CreateTransformJob` `kms:CreateGrant` (necessário apenas se o `TransformResources` associado tiver um `VolumeKmsKeyId` especificado e o perfil associado não tiver uma política que permita essa ação) | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateUserProfile.html) | `sagemaker:CreateUserProfile` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkforce.html) | `sagemaker:CreateWorkforce` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | arn:aws:sagemaker:region:account-id:workforce/\$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateWorkteam.html) | `sagemaker:CreateWorkteam` `cognito-idp:DescribeUserPoolClient` `cognito-idp:UpdateUserPool` `cognito-idp:DescribeUserPool` `cognito-idp:UpdateUserPoolClient` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/work team name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteApp.html) | `sagemaker:DeleteApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteAppImageConfig.html) | `sagemaker:DeleteAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteDomain.html) | `sagemaker:DeleteDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpoint.html) | `sagemaker:DeleteEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteEndpointConfig.html) | `sagemaker:DeleteEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteFlowDefinition.html) | `sagemaker:DeleteFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DeleteHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DeleteHumanLoop.html)` | `sagemaker:DeleteHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImage.html) | `sagemaker:DeleteImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteImageVersion.html) | `sagemaker:DeleteImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModel.html) | `sagemaker:DeleteModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackage.html) | `sagemaker:DeleteModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroup.html) | `sagemaker:DeleteModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteModelPackageGroupPolicy.html) | `sagemaker:DeleteModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteNotebookInstance.html) | `sagemaker:DeleteNotebookInstance` A seguinte permissão é necessária somente se você especificou uma VPC para sua instância de caderno: `ec2:DeleteNetworkInterface` As seguintes permissões são necessárias somente se você especificou uma chave de criptografia quando criou a instância de caderno: `kms:DescribeKey` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeletePipeline.html) | `sagemaker:DeletePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[DeleteSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteSpace.html)` | `sagemaker:DeleteSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteTags.html) | `sagemaker:DeleteTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteUserProfile.html) | `sagemaker:DeleteUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkforce.html) | `sagemaker:DeleteWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DeleteWorkteam.html) | `sagemaker:DeleteWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeApp.html) | `sagemaker:DescribeApp` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/app-type/appName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAppImageConfig.html) | `sagemaker:DescribeAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJob.html) | `sagemaker:DescribeAutoMLJob` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeAutoMLJobV2.html) | `sagemaker:DescribeAutoMLJobV2` | arn:aws:sagemaker:region:account-id:automl-job/autoMLJobName |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeDomain.html) | `sagemaker:DescribeDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpoint.html) | `sagemaker:DescribeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeEndpointConfig.html) | `sagemaker:DescribeEndpointConfig` | `arn:aws:sagemaker:region:account-id:endpoint-config/endpointConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeFlowDefinition.html) | `sagemaker:DescribeFlowDefinition` | `arn:aws:sagemaker:region:account-id:flow-definition/flowDefinitionName` |
| `[DescribeHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_DescribeHumanLoop.html)` | `sagemaker:DescribeHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHumanTaskUi.html) | `sagemaker:DescribeHumanTaskUi` | `arn:aws:sagemaker:region:account-id:human-task-ui/humanTaskUiName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeHyperParameterTuningJob.html) | `sagemaker:DescribeHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImage.html) | `sagemaker:DescribeImage` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeImageVersion.html) | `sagemaker:DescribeImageVersion` | `arn:aws:sagemaker:region:account-id:image-version/imageName/versionNumber` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeLabelingJob.html) | `sagemaker:DescribeLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModel.html) | `sagemaker:DescribeModel` | `arn:aws:sagemaker:region:account-id:model/modelName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackage.html) | `sagemaker:DescribeModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeModelPackageGroup.html) | `sagemaker:DescribeModelPackageGroup` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) | `sagemaker:DescribeNotebookInstance ` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipeline.html) | `sagemaker:DescribePipeline` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineDefinitionForExecution.html) | `sagemaker:DescribePipelineDefinitionForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribePipelineExecution.html) | `sagemaker:DescribePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeProcessingJob.html) | `sagemaker:DescribeProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingjobname` |
| `[DescribeSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSpace.html)` | `sagemaker:DescribeSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeSubscribedWorkteam.html) | `sagemaker:DescribeSubscribedWorkteam` `aws-marketplace:ViewSubscriptions` | `arn:aws:sagemaker:region:account-id:workteam/vendor-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTrainingJob.html) | `sagemaker:DescribeTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeTransformJob.html) | `sagemaker:DescribeTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformjobname` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html) | `sagemaker:DescribeUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkforce.html) | `sagemaker:DescribeWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeWorkteam.html) | `sagemaker:DescribeWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_GetModelPackageGroupPolicy.html) | `sagemaker:GetModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html) | `sagemaker:InvokeEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListAppImageConfigs.html) | `sagemaker:ListAppImageConfigs` | `arn:aws:sagemaker:region:account-id:app-image-config/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListApps.html) | `sagemaker:ListApps` | `arn:aws:sagemaker:region:account-id:app/domain-id/user-profile-name/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListDomains.html) | `sagemaker:ListDomains` | `arn:aws:sagemaker:region:account-id:domain/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpointConfigs.html) | `sagemaker:ListEndpointConfigs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListEndpoints.html) | `sagemaker:ListEndpoints` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListFlowDefinitions.html) | `sagemaker:ListFlowDefinitions` | `*` |
| `[ListHumanLoops](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_ListHumanLoops.html)` | `sagemaker:ListHumanLoops` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHumanTaskUis.html) | `sagemaker:ListHumanTaskUis` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListHyperParameterTuningJobs.html) | `sagemaker:ListHyperParameterTuningJobs` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImages.html) | `sagemaker:ListImages` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListImageVersions.html) | `sagemaker:ListImageVersions` | `arn:aws:sagemaker:region:account-id:image/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobs.html) | `sagemaker:ListLabelingJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListLabelingJobsForWorkteam.html) | `sagemaker:ListLabelingJobForWorkteam` | `*` |
| `[ ListModelPackageGroups](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackageGroups.html)` | `sagemaker:ListModelPackageGroups` | `arn:aws:sagemaker:region:account-id :model-package-group/ModelPackageGroupName` |
| `[ ListModelPackages](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModelPackages.html)` | `sagemaker:ListModelPackages` | `arn:aws:sagemaker:region:account-id :model-package/ModelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListModels.html) | `sagemaker:ListModels` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListNotebookInstances.html) | `sagemaker:ListNotebookInstances` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutions.html) | `sagemaker:ListPipelineExecutions` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineExecutionSteps.html) | `sagemaker:ListPipelineExecutionSteps` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelineParametersForExecution.html) | `sagemaker:ListPipelineParametersForExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListPipelines.html) | `sagemaker:ListPipelines` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListProcessingJobs.html) | `sagemaker:ListProcessingJobs` | `*` |
| `[ListSpaces](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSpaces.html)` | `sagemaker:ListSpaces` | `arn:aws:sagemaker:region:account-id:space/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListSubscribedWorkteams.html) | `sagemaker:ListSubscribedWorkteams` `aws-marketplace:ViewSubscriptions` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTags.html) | `sagemaker:ListTags` | `arn:aws:sagemaker:region:account-id:*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobs.html) | `sagemaker:ListTrainingJobs` | `*` |
| `[ ListTrainingJobsForHyperParameterTuningJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTrainingJobsForHyperParameterTuningJob.html)` | `sagemaker:ListTrainingJobsForHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListTransformJobs.html) | `sagemaker:ListTransformJobs` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListUserProfiles.html) | `sagemaker:ListUserProfiles` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkforces.html) | `sagemaker:ListWorkforces` | \$1 |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_ListWorkteams.html) | `sagemaker:ListWorkteams` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_PutModelPackageGroupPolicy.html) | `sagemaker:PutModelPackageGroupPolicy` | `arn:aws:sagemaker:region:account-id:model-package-group/modelPackageGroupName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_RetryPipelineExecution.html) | `sagemaker:RetryPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Search.html) | `sagemaker:Search` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepFailure.html) | `sagemaker:SendPipelineExecutionStepFailure` | `*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_SendPipelineExecutionStepSuccess.html) | `sagemaker:SendPipelineExecutionStepSuccess` | `*` |
| `[StartHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StartHumanLoop.html)` | `sagemaker:StartHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartNotebookInstance.html) | `sagemaker:StartNotebookInstance` As seguintes permissões são necessárias somente se você especificou uma VPC quando criou sua instância de caderno: `ec2:CreateNetworkInterface` `ec2:DescribeNetworkInterfaces` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` As seguintes permissões são necessárias somente se você especificou uma chave de criptografia quando criou a instância de caderno: `kms:DescribeKey` `kms:CreateGrant` A seguinte permissão é necessária somente se você especificou um segredo do AWS Secrets Manager para acessar um repositório privado do Git quando criou a instância de caderno: `secretsmanager:GetSecretValue` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StartPipelineExecution.html) | `sagemaker:StartPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` |
| `[StopHumanLoop](https://docs.aws.amazon.com/augmented-ai/2019-11-07/APIReference/API_StopHumanLoop.html)` | `sagemaker:StopHumanLoop` | `arn:aws:sagemaker:region:account-id:human-loop/humanLoopName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopHyperParameterTuningJob.html) | `sagemaker:StopHyperParameterTuningJob` | `arn:aws:sagemaker:region:account-id:hyper-parameter-tuning-job/hyperParameterTuningJob` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopLabelingJob.html) | `sagemaker:StopLabelingJob` | `arn:aws:sagemaker:region:account-id:labeling-job/labelingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopNotebookInstance.html) | `sagemaker:StopNotebookInstance` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopPipelineExecution.html) | `sagemaker:StopPipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopProcessingJob.html) | `sagemaker:StopProcessingJob` | `arn:aws:sagemaker:region:account-id:processing-job/processingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTrainingJob.html) | `sagemaker:StopTrainingJob` | `arn:aws:sagemaker:region:account-id:training-job/trainingJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_StopTransformJob.html) | `sagemaker:StopTransformJob` | `arn:aws:sagemaker:region:account-id:transform-job/transformJobName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateAppImageConfig.html) | `sagemaker:UpdateAppImageConfig` | `arn:aws:sagemaker:region:account-id:app-image-config/appImageConfigName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateDomain.html) | `sagemaker:UpdateDomain` | `arn:aws:sagemaker:region:account-id:domain/domainId` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpoint.html) | `sagemaker:UpdateEndpoint` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateEndpointWeightsAndCapacities.html) | `sagemaker:UpdateEndpointWeightsAndCapacities` | `arn:aws:sagemaker:region:account-id:endpoint/endpointName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateImage.html) | `sagemaker:UpdateImage` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:image/imageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateModelPackage.html) | `sagemaker:UpdateModelPackage` | `arn:aws:sagemaker:region:account-id:model-package/modelPackageName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateNotebookInstance.html) | `sagemaker:UpdateNotebookInstance` `iam:PassRole` | `arn:aws:sagemaker:region:account-id:notebook-instance/notebookInstanceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipeline.html) | `sagemaker:UpdatePipeline` `iam:PassRole` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name` `arn:aws-partition:iam::account-id:role/role-name` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdatePipelineExecution.html) | `sagemaker:UpdatePipelineExecution` | `arn:aws-partition:sagemaker:region:account-id:pipeline/pipeline-name/execution/execution-id` |
| `[UpdateSpace](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateSpace.html)` | `sagemaker:UpdateSpace` | `arn:aws:sagemaker:region:account-id:space/domain-id/spaceName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateUserProfile.html) | `sagemaker:UpdateUserProfile` | `arn:aws:sagemaker:region:account-id:user-profile/domain-id/userProfileName` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkforce.html) | `sagemaker:UpdateWorkforce` | `arn:aws:sagemaker:region:account-id:workforce/*` |
| [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_UpdateWorkteam.html) | `sagemaker:UpdateWorkteam` | `arn:aws:sagemaker:region:account-id:workteam/private-crowd/*` |
# AWS políticas gerenciadas para Amazon SageMaker AI
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer compatibilidade com novos atributos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo atributo for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ReadOnlyAccess` AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
**Importante**
Recomendamos que você use a política mais restrita que permita executar seu caso de uso.
As seguintes políticas AWS gerenciadas, que você pode anexar aos usuários em sua conta, são específicas da Amazon SageMaker AI:
+ **`AmazonSageMakerFullAccess`**— Concede acesso total aos recursos geoespaciais de SageMaker SageMaker IA e IA da Amazon e às operações suportadas. Isso não fornece acesso irrestrito ao Amazon S3, mas é compatível com os buckets e objetos com tags `sagemaker` específicas. Essa política permite que todas as funções do IAM sejam passadas para a Amazon SageMaker AI, mas só permite que as funções do IAM com AmazonSageMaker "" sejam passadas para os AWS RoboMaker serviços AWS Glue AWS Step Functions, e.
+ **`AmazonSageMakerReadOnly`**— Concede acesso somente para leitura aos recursos de SageMaker IA da Amazon.
As seguintes políticas AWS gerenciadas podem ser anexadas aos usuários da sua conta, mas não são recomendadas:
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator): concede todas as ações para todos os serviços da AWS e para todos os recursos na conta.
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_data-scientist): concede uma grande variedade de permissões para cobrir a maioria dos casos de uso (principalmente analytics e inteligência de negócios) encontrados pelos cientistas de dados.
Você pode revisar essas políticas de permissões fazendo login no console do IAM e procurando por elas.
Você também pode criar suas próprias políticas personalizadas do IAM para permitir permissões para ações e recursos de SageMaker IA da Amazon conforme necessário. É possível anexar essas políticas personalizadas aos usuários ou grupos que necessitam delas.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess)
+ [AWS política gerenciada: AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly)
+ [AWS políticas gerenciadas para o Amazon SageMaker Canvas](security-iam-awsmanpol-canvas.md)
+ [AWS políticas gerenciadas para a Amazon SageMaker Feature Store](security-iam-awsmanpol-feature-store.md)
+ [AWS políticas gerenciadas para o setor SageMaker geoespacial da Amazon](security-iam-awsmanpol-geospatial.md)
+ [AWS Políticas gerenciadas para o Amazon SageMaker Ground Truth](security-iam-awsmanpol-ground-truth.md)
+ [AWS políticas gerenciadas para a Amazon SageMaker HyperPod](security-iam-awsmanpol-hyperpod.md)
+ [AWS Políticas gerenciadas para governança do modelo de SageMaker IA](security-iam-awsmanpol-governance.md)
+ [AWS Políticas gerenciadas para registro de modelos](security-iam-awsmanpol-model-registry.md)
+ [AWS Políticas gerenciadas para SageMaker notebooks](security-iam-awsmanpol-notebooks.md)
+ [AWS políticas gerenciadas para Amazon SageMaker Partner AI Apps](security-iam-awsmanpol-partner-apps.md)
+ [AWS Políticas gerenciadas para SageMaker oleodutos](security-iam-awsmanpol-pipelines.md)
+ [AWS políticas gerenciadas para planos SageMaker de treinamento](security-iam-awsmanpol-training-plan.md)
+ [AWS Políticas gerenciadas para SageMaker projetos e JumpStart](security-iam-awsmanpol-sc.md)
+ [SageMaker Atualizações de IA para políticas AWS gerenciadas](#security-iam-awsmanpol-updates)
## AWS política gerenciada: AmazonSageMakerFullAccess
Essa política concede permissões administrativas que permitem ao principal acesso total a todos os recursos e operações geoespaciais de SageMaker IA e IA da Amazon SageMaker . A política também fornece acesso seleto aos serviços relacionados. Essa política permite que todas as funções do IAM sejam passadas para a Amazon SageMaker AI, mas só permite que as funções do IAM com AmazonSageMaker "" sejam passadas para os AWS RoboMaker serviços AWS Glue AWS Step Functions, e. Essa política não inclui permissões para criar um domínio Amazon SageMaker AI. Para obter informações sobre a política necessária para criar um domínio, consulte [Pré-requisitos completos do Amazon SageMaker AI](gs-set-up.md).
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `application-autoscaling`— Permite que os diretores escalem automaticamente um endpoint de inferência de SageMaker IA em tempo real.
+ `athena`— Permite que os diretores consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas a partir de. Amazon Athena
+ `aws-marketplace`— Permite que os diretores visualizem as assinaturas do AWS AI Marketplace. Você precisa disso se quiser acessar o software de SageMaker IA inscrito. AWS Marketplace
+ `cloudformation`— Permite que os diretores obtenham AWS CloudFormation modelos para usar JumpStart soluções de SageMaker IA e pipelines. SageMaker JumpStart A IA cria os recursos necessários para executar soluções end-to-end de aprendizado de máquina que vinculam a SageMaker IA a outros AWS serviços. SageMaker O AI Pipelines cria novos projetos que são apoiados pelo Service Catalog.
+ `cloudwatch`— Permite que os diretores publiquem CloudWatch métricas, interajam com alarmes e enviem registros para o CloudWatch Logs em sua conta.
+ `codebuild`— Permite que os diretores armazenem AWS CodeBuild artefatos para projetos e pipelines de SageMaker IA.
+ `codecommit`— Necessário para AWS CodeCommit integração com instâncias de notebooks de SageMaker IA.
+ `cognito-idp`— Necessário para que o Amazon SageMaker Ground Truth defina força de trabalho e equipes de trabalho privadas.
+ `ec2`— Necessário para que a SageMaker IA gerencie recursos e interfaces de rede do Amazon EC2 quando você especifica uma Amazon VPC para suas tarefas, modelos, endpoints e instâncias de notebook de SageMaker IA.
+ `ecr`— Necessário para extrair e armazenar artefatos do Docker para Amazon SageMaker Studio Classic (imagens personalizadas), treinamento, processamento, inferência em lote e endpoints de inferência. Isso também é necessário para usar seu próprio contêiner na SageMaker IA. Permissões adicionais para JumpStart soluções de SageMaker IA são necessárias para criar e remover imagens personalizadas em nome dos usuários.
+ `elasticfilesystem`: permite que as entidades principais acessem o Amazon Elastic File System. Isso é necessário para que a SageMaker IA use fontes de dados no Amazon Elastic File System para treinar modelos de aprendizado de máquina.
+ `fsx`— Permite que os diretores acessem a Amazon FSx. Isso é necessário para que a SageMaker IA use fontes de dados na Amazon FSx para treinar modelos de aprendizado de máquina.
+ `glue`— Necessário para o pré-processamento do pipeline de inferência a partir de instâncias de notebooks de SageMaker IA.
+ `groundtruthlabeling`: necessário para trabalhos de rotulagem do Ground Truth. O endpoint `groundtruthlabeling` é acessado pelo console do Ground Truth.
+ `iam`— Necessário dar ao console de SageMaker IA acesso às funções do IAM disponíveis e criar funções vinculadas a serviços.
+ `kms`— Necessário dar ao console de SageMaker IA acesso às AWS KMS chaves disponíveis e recuperá-las para qualquer AWS KMS alias especificado em trabalhos e endpoints.
+ `lambda`: permite que as entidades principais invoquem e obtenham uma lista de funções do AWS Lambda .
+ `logs`— Necessário para permitir que tarefas e endpoints de SageMaker IA publiquem fluxos de registros.
+ `redshift`: permite que as entidades principais acessem as credenciais do cluster Amazon Redshift.
+ `redshift-data`: permite que as entidades principais usem dados do Amazon Redshift para executar, descrever e cancelar declarações; obter resultados de declarações; e listar esquemas e tabelas.
+ `robomaker`— Permite que os diretores tenham acesso total para criar, obter descrições e excluir aplicativos e trabalhos de AWS RoboMaker simulação. Isso também é necessário para executar exemplos de aprendizado por reforço em instâncias de cadernos.
+ `s3, s3express`— Permite que os diretores tenham acesso total aos recursos do Amazon S3 e do Amazon S3 Express relacionados SageMaker à IA, mas não a todos os recursos do Amazon S3 ou do Amazon S3 Express.
+ `sagemaker`— Permite que os diretores listem tags em perfis de usuário de SageMaker IA e adicionem tags a aplicativos e espaços de SageMaker IA. Permite acesso somente às definições de fluxo de SageMaker IA do sagemaker: WorkteamType “multidão privada” ou “multidão de fornecedores”. Permite o uso e a descrição dos planos de treinamento de SageMaker IA e da capacidade reservada em cargos e SageMaker HyperPod clusters de SageMaker treinamento em todas as AWS regiões em que o recurso de planos de treinamento está acessível.
+ `sagemaker`e `sagemaker-geospatial` — Permite que os diretores tenham acesso somente de leitura aos domínios de SageMaker IA e aos perfis de usuário.
+ `secretsmanager`: concede às entidades principais acesso total ao AWS Secrets Manager. As entidades principais podem criptografar, armazenar e recuperar credenciais com segurança para bancos de dados e outros serviços. Isso também é necessário para instâncias de notebook de SageMaker SageMaker IA com repositórios de código de IA que usam GitHub.
+ `servicecatalog`: permite que as entidades principais usem o Service Catalog. Os diretores podem criar, obter uma lista, atualizar ou encerrar produtos provisionados, como servidores, bancos de dados, sites ou aplicativos implantados usando recursos. AWS Isso é necessário para que a SageMaker IA JumpStart e os projetos encontrem e leiam produtos do catálogo de serviços e lancem AWS recursos nos usuários.
+ `sns`: permite que as entidades principais visualizem uma lista de tópicos do Amazon SNS. Isso é necessário para endpoints com inferência assíncrona habilitada para notificar os usuários de que sua inferência foi concluída.
+ `states`— Necessário para que a SageMaker IA JumpStart e os Pipelines usem um catálogo de serviços para criar recursos de função de etapas.
+ `tag`— Necessário para que o SageMaker AI Pipelines seja renderizado no Studio Classic. O Studio Classic precisa de recursos marcados com uma tag-chave `sagemaker:project-id` específica. Isso requer a permissão `tag:GetResources`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllNonAdminSageMakerActions",
"Effect": "Allow",
"Action": [
"sagemaker:*",
"sagemaker-geospatial:*"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:space/*",
"arn:aws:sagemaker:*:*:partner-app/*",
"arn:aws:sagemaker:*:*:flow-definition/*",
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowAddTagsForSpace",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:space/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
},
{
"Sid": "AllowAddTagsForApp",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:app/*"
]
},
{
"Sid": "AllowUseOfTrainingPlanResources",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingJob",
"sagemaker:CreateCluster",
"sagemaker:UpdateCluster",
"sagemaker:DescribeTrainingPlan"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AllowStudioActions",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeDomain",
"sagemaker:ListDomains",
"sagemaker:DescribeUserProfile",
"sagemaker:ListUserProfiles",
"sagemaker:DescribeSpace",
"sagemaker:ListSpaces",
"sagemaker:DescribeApp",
"sagemaker:ListApps"
],
"Resource": "*"
},
{
"Sid": "AllowAppActionsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*/*/*/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "AllowAppActionsForSharedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Shared"
]
}
}
},
{
"Sid": "AllowMutatingActionsOnSharedSpacesWithoutOwner",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"Null": {
"sagemaker:OwnerUserProfileArn": "true"
}
}
},
{
"Sid": "RestrictMutatingActionsOnSpacesToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:UpdateSpace",
"sagemaker:DeleteSpace"
],
"Resource": "arn:aws:sagemaker:*:*:space/${sagemaker:DomainId}/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private",
"Shared"
]
}
}
},
{
"Sid": "RestrictMutatingActionsOnPrivateSpaceAppsToOwnerUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:CreateApp",
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/${sagemaker:DomainId}/*/*/*",
"Condition": {
"ArnLike": {
"sagemaker:OwnerUserProfileArn": "arn:aws:sagemaker:*:*:user-profile/${sagemaker:DomainId}/${sagemaker:UserProfileName}"
},
"StringEquals": {
"sagemaker:SpaceSharingType": [
"Private"
]
}
}
},
{
"Sid": "AllowFlowDefinitionActions",
"Effect": "Allow",
"Action": "sagemaker:*",
"Resource": [
"arn:aws:sagemaker:*:*:flow-definition/*"
],
"Condition": {
"StringEqualsIfExists": {
"sagemaker:WorkteamType": [
"private-crowd",
"vendor-crowd"
]
}
}
},
{
"Sid": "AllowAWSServiceActions",
"Effect": "Allow",
"Action": [
"application-autoscaling:DeleteScalingPolicy",
"application-autoscaling:DeleteScheduledAction",
"application-autoscaling:DeregisterScalableTarget",
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:PutScheduledAction",
"application-autoscaling:RegisterScalableTarget",
"aws-marketplace:ViewSubscriptions",
"cloudformation:GetTemplateSummary",
"cloudwatch:DeleteAlarms",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"codecommit:BatchGetRepositories",
"codecommit:CreateRepository",
"codecommit:GetRepository",
"codecommit:List*",
"cognito-idp:AdminAddUserToGroup",
"cognito-idp:AdminCreateUser",
"cognito-idp:AdminDeleteUser",
"cognito-idp:AdminDisableUser",
"cognito-idp:AdminEnableUser",
"cognito-idp:AdminRemoveUserFromGroup",
"cognito-idp:CreateGroup",
"cognito-idp:CreateUserPool",
"cognito-idp:CreateUserPoolClient",
"cognito-idp:CreateUserPoolDomain",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:List*",
"cognito-idp:UpdateUserPool",
"cognito-idp:UpdateUserPoolClient",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateVpcEndpoint",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:CreateRepository",
"ecr:Describe*",
"ecr:GetAuthorizationToken",
"ecr:GetDownloadUrlForLayer",
"ecr:StartImageScan",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets",
"fsx:DescribeFileSystems",
"glue:CreateJob",
"glue:DeleteJob",
"glue:GetJob*",
"glue:GetTable*",
"glue:GetWorkflowRun",
"glue:ResetJobBookmark",
"glue:StartJobRun",
"glue:StartWorkflowRun",
"glue:UpdateJob",
"groundtruthlabeling:*",
"iam:ListRoles",
"kms:DescribeKey",
"kms:ListAliases",
"lambda:ListFunctions",
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery",
"robomaker:CreateSimulationApplication",
"robomaker:DescribeSimulationApplication",
"robomaker:DeleteSimulationApplication",
"robomaker:CreateSimulationJob",
"robomaker:DescribeSimulationJob",
"robomaker:CancelSimulationJob",
"secretsmanager:ListSecrets",
"servicecatalog:Describe*",
"servicecatalog:List*",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:SearchProvisionedProducts",
"sns:ListTopics",
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AllowECRActions",
"Effect": "Allow",
"Action": [
"ecr:SetRepositoryPolicy",
"ecr:CompleteLayerUpload",
"ecr:BatchDeleteImage",
"ecr:UploadLayerPart",
"ecr:DeleteRepositoryPolicy",
"ecr:InitiateLayerUpload",
"ecr:DeleteRepository",
"ecr:PutImage"
],
"Resource": [
"arn:aws:ecr:*:*:repository/*sagemaker*"
]
},
{
"Sid": "AllowCodeCommitActions",
"Effect": "Allow",
"Action": [
"codecommit:GitPull",
"codecommit:GitPush"
],
"Resource": [
"arn:aws:codecommit:*:*:*sagemaker*",
"arn:aws:codecommit:*:*:*SageMaker*",
"arn:aws:codecommit:*:*:*Sagemaker*"
]
},
{
"Sid": "AllowCodeBuildActions",
"Action": [
"codebuild:BatchGetBuilds",
"codebuild:StartBuild"
],
"Resource": [
"arn:aws:codebuild:*:*:project/sagemaker*",
"arn:aws:codebuild:*:*:build/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowStepFunctionsActions",
"Action": [
"states:DescribeExecution",
"states:GetExecutionHistory",
"states:StartExecution",
"states:StopExecution",
"states:UpdateStateMachine"
],
"Resource": [
"arn:aws:states:*:*:statemachine:*sagemaker*",
"arn:aws:states:*:*:execution:*sagemaker*:*"
],
"Effect": "Allow"
},
{
"Sid": "AllowSecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "AllowReadOnlySecretManagerActions",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowServiceCatalogProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:ProvisionProduct"
],
"Resource": "*"
},
{
"Sid": "AllowServiceCatalogTerminateUpdateProvisionProduct",
"Effect": "Allow",
"Action": [
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
},
{
"Sid": "AllowS3ObjectActions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*",
"arn:aws:s3:::*aws-glue*"
]
},
{
"Sid": "AllowS3GetObjectWithSageMakerExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Sid": "AllowS3GetObjectWithServiceCatalogProvisioningExistingObjectTag",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/servicecatalog:provisioning": "true"
}
}
},
{
"Sid": "AllowS3BucketActions",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketCors",
"s3:PutBucketCors"
],
"Resource": "*"
},
{
"Sid": "AllowS3BucketACL",
"Effect": "Allow",
"Action": [
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowLambdaInvokeFunction",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*",
"arn:aws:lambda:*:*:function:*LabelingFunction*"
]
},
{
"Sid": "AllowCreateServiceLinkedRoleForSageMakerApplicationAutoscaling",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AllowCreateServiceLinkedRoleForRobomaker",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "robomaker.amazonaws.com"
}
}
},
{
"Sid": "AllowSNSActions",
"Effect": "Allow",
"Action": [
"sns:Subscribe",
"sns:CreateTopic",
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "AllowPassRoleForSageMakerRoles",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*AmazonSageMaker*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"glue.amazonaws.com",
"robomaker.amazonaws.com",
"states.amazonaws.com"
]
}
}
},
{
"Sid": "AllowPassRoleToSageMaker",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AllowAthenaActions",
"Effect": "Allow",
"Action": [
"athena:ListDataCatalogs",
"athena:ListDatabases",
"athena:ListTableMetadata",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowGlueCreateTable",
"Effect": "Allow",
"Action": [
"glue:CreateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueUpdateTable",
"Effect": "Allow",
"Action": [
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:table/sagemaker_featurestore/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore"
]
},
{
"Sid": "AllowGlueDeleteTable",
"Effect": "Allow",
"Action": [
"glue:DeleteTable"
],
"Resource": [
"arn:aws:glue:*:*:table/*/sagemaker_tmp_*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetTablesAndDatabases",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "AllowGlueGetAndCreateDatabase",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:GetDatabase"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:database/sagemaker_processing",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/sagemaker_data_wrangler"
]
},
{
"Sid": "AllowRedshiftDataActions",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowRedshiftGetClusterCredentials",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "AllowListTagsForUserProfile",
"Effect": "Allow",
"Action": [
"sagemaker:ListTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:user-profile/*"
]
},
{
"Sid": "AllowCloudformationListStackResources",
"Effect": "Allow",
"Action": [
"cloudformation:ListStackResources"
],
"Resource": "arn:aws:cloudformation:*:*:stack/SC-*"
},
{
"Sid": "AllowS3ExpressObjectActions",
"Effect": "Allow",
"Action": [
"s3express:CreateSession"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*",
"arn:aws:s3express:*:*:bucket/*aws-glue*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressCreateBucketActions",
"Effect": "Allow",
"Action": [
"s3express:CreateBucket"
],
"Resource": [
"arn:aws:s3express:*:*:bucket/*SageMaker*",
"arn:aws:s3express:*:*:bucket/*Sagemaker*",
"arn:aws:s3express:*:*:bucket/*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowS3ExpressListBucketActions",
"Effect": "Allow",
"Action": [
"s3express:ListAllMyDirectoryBuckets"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerReadOnly
Essa política concede acesso somente de leitura à Amazon SageMaker AI por meio do SDK Console de gerenciamento da AWS .
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `application-autoscaling`— Permite que os usuários procurem descrições de endpoints de inferência de SageMaker IA em tempo real escaláveis.
+ `aws-marketplace`— Permite que os usuários visualizem as assinaturas do AWS AI Marketplace.
+ `cloudwatch`— Permite que os usuários recebam CloudWatch alarmes.
+ `cognito-idp`— Necessário para que o Amazon SageMaker Ground Truth busque descrições e listas de funcionários e equipes de trabalho privadas.
+ `ecr`: necessário para extrair e armazenar artefatos do Docker para treinamento e inferência.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:Describe*",
"sagemaker:List*",
"sagemaker:BatchGetMetrics",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetSearchSuggestions",
"sagemaker:BatchGetRecord",
"sagemaker:GetRecord",
"sagemaker:Search",
"sagemaker:QueryLineage",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:GetModelPackageGroupPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalableTargets",
"application-autoscaling:DescribeScalingActivities",
"application-autoscaling:DescribeScalingPolicies",
"application-autoscaling:DescribeScheduledActions",
"aws-marketplace:ViewSubscriptions",
"cloudwatch:DescribeAlarms",
"cognito-idp:DescribeUserPool",
"cognito-idp:DescribeUserPoolClient",
"cognito-idp:ListGroups",
"cognito-idp:ListIdentityProviders",
"cognito-idp:ListUserPoolClients",
"cognito-idp:ListUserPools",
"cognito-idp:ListUsers",
"cognito-idp:ListUsersInGroup",
"ecr:Describe*"
],
"Resource": "*"
}
]
}
```
------
# AWS políticas gerenciadas para o Amazon SageMaker Canvas
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o Amazon SageMaker Canvas. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess)
+ [AWS política gerenciada: AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess)
+ [AWS política gerenciada: AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess)
+ [AWS política gerenciada: AmazonSageMakerCanvas AIServices Acesso](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess)
+ [AWS política gerenciada: AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess)
+ [AWS política gerenciada: AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess)
+ [AWS política gerenciada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerCanvas SMData ScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess)
+ [Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Amazon SageMaker Canvas](#security-iam-awsmanpol-canvas-updates)
## AWS política gerenciada: AmazonSageMakerCanvasFullAccess
Essa política concede permissões que permitem acesso total ao Amazon SageMaker Canvas por meio do Console de gerenciamento da AWS SDK. A política também fornece acesso seleto a serviços relacionados [por exemplo, Amazon Simple Storage Service (Amazon S3), (IAM) AWS Identity and Access Management , Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Container Registry (Amazon ECR), Amazon Logs, Amazon Redshift, CloudWatch Amazon SageMaker Autopilot, Model Registry e Amazon AWS Secrets Manager Forecast SageMaker Forecast].
Esta política tem como objetivo ajudar os clientes a experimentar e começar com todos os recursos do SageMaker Canvas. Para um controle mais refinado, sugerimos que os clientes criem suas próprias versões com escopo reduzido à medida que migram para os workloads de produção. Para obter mais informações, consulte [Tipos de política do IAM: como e quando usá-las](https://aws.amazon.com/blogs/security/iam-policy-types-how-and-when-to-use-them/).
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker`— Permite que os diretores criem e SageMaker hospedem modelos de IA em recursos cujo ARN contém “Canvas”, “tela” ou “compilação de modelos”. Além disso, os usuários podem registrar seu modelo SageMaker Canvas no SageMaker AI Model Registry na mesma AWS conta. Também permite que os diretores criem e gerenciem tarefas de SageMaker treinamento, transformação e AutoML.
+ `application-autoscaling`— Permite que os diretores escalem automaticamente um endpoint de inferência de SageMaker IA.
+ `athena`: permite que as entidades principais consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas do Amazon Athena, além de acessar tabelas em catálogos.
+ `cloudwatch`— Permite que os diretores criem e gerenciem alarmes da Amazon CloudWatch .
+ `ec2`: permite que as entidades principais criem endpoints da Amazon VPC.
+ `ecr`: permite que as entidades principais obtenham informações sobre a imagem de um contêiner.
+ `emr-serverless`: permite que as entidades principais criem e gerenciem aplicações e execuções de trabalho do Amazon EMR Sem Servidor. Também permite que os diretores marquem os recursos do SageMaker Canvas.
+ `forecast`: permite que as entidades principais usem o Amazon Forecast.
+ `glue`— permite que os diretores recuperem as tabelas, bancos de dados e partições no catálogo. AWS Glue
+ `iam`— Permite que os diretores passem uma função do IAM para o Amazon SageMaker AI, o Amazon Forecast e o Amazon EMR Serverless. Também permite que as entidades principais criem um perfil vinculado a serviço.
+ `kms`— Permite que os diretores leiam uma AWS KMS chave marcada com`Source:SageMakerCanvas`.
+ `logs`: permite que as entidades principais publiquem logs de trabalhos de treinamento e endpoints.
+ `quicksight`— Permite que os diretores listem os namespaces na conta rápida.
+ `rds`: permite que as entidades principais retornem informações sobre instâncias do Amazon RDS.
+ `redshift`: permite que as entidades principais obtenham credenciais para um administrador “sagemaker\$1access\$1” em qualquer cluster do Amazon Redshift, se esse usuário existir.
+ `redshift-data`: permite que as entidades principais executem consultas no Amazon Redshift usando a API de dados do Amazon Redshift. Isso só fornece acesso aos dados do Redshift em APIs si e não fornece acesso direto aos seus clusters do Amazon Redshift. Para obter mais informações, consulte [Uso da API de dados do Amazon Redshift](https://docs.aws.amazon.com/redshift/latest/mgmt/data-api.html).
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker“, “Sagemaker” ou “sagemaker”. Também permite que os diretores recuperem objetos dos buckets do Amazon S3 cujo ARN começa com jumpstart-cache-prod "-” em regiões específicas.
+ `secretsmanager`: permite que as entidades principais armazenem as credenciais do cliente para se conectarem a um banco de dados do Snowflake usando o Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerUserDetailsAndPackageOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeDomain",
"sagemaker:DescribeUserProfile",
"sagemaker:ListTags",
"sagemaker:ListModelPackages",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListEndpoints"
],
"Resource": "*"
},
{
"Sid": "SageMakerPackageGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelPackage"
],
"Resource": [
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*"
]
},
{
"Sid": "SageMakerTrainingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateCompilationJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateModel",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateAutoMLJobV2",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeModel",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeAutoMLJobV2",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:StopAutoMLJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:AddTags",
"sagemaker:DeleteApp"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*",
"arn:aws:sagemaker:*:*:*model-compilation-*"
]
},
{
"Sid": "SageMakerHostingOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteModel",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:InvokeEndpointAsync"
],
"Resource": [
"arn:aws:sagemaker:*:*:*Canvas*",
"arn:aws:sagemaker:*:*:*canvas*"
]
},
{
"Sid": "EC2VPCOperation",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServices"
],
"Resource": "*"
},
{
"Sid": "ECROperations",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer",
"ecr:GetAuthorizationToken"
],
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": [
"iam:GetRole"
],
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:CreateBucket",
"s3:GetBucketCors",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "ReadSageMakerJumpstartArtifacts",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::jumpstart-cache-prod-us-west-2/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-1/*",
"arn:aws:s3:::jumpstart-cache-prod-us-east-2/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-west-1/*",
"arn:aws:s3:::jumpstart-cache-prod-eu-central-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-south-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-2/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-northeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-1/*",
"arn:aws:s3:::jumpstart-cache-prod-ap-southeast-2/*"
]
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": "glue:SearchTables",
"Resource": [
"arn:aws:glue:*:*:table/*/*",
"arn:aws:glue:*:*:database/*",
"arn:aws:glue:*:*:catalog"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:PutResourcePolicy"
],
"Resource": [
"arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
]
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/SageMaker": "true"
}
}
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult",
"redshift-data:ListSchemas",
"redshift-data:ListTables",
"redshift-data:DescribeTable"
],
"Resource": "*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": [
"redshift:GetClusterCredentials"
],
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "ForecastOperations",
"Effect": "Allow",
"Action": [
"forecast:CreateExplainabilityExport",
"forecast:CreateExplainability",
"forecast:CreateForecastEndpoint",
"forecast:CreateAutoPredictor",
"forecast:CreateDatasetImportJob",
"forecast:CreateDatasetGroup",
"forecast:CreateDataset",
"forecast:CreateForecast",
"forecast:CreateForecastExportJob",
"forecast:CreatePredictorBacktestExportJob",
"forecast:CreatePredictor",
"forecast:DescribeExplainabilityExport",
"forecast:DescribeExplainability",
"forecast:DescribeAutoPredictor",
"forecast:DescribeForecastEndpoint",
"forecast:DescribeDatasetImportJob",
"forecast:DescribeDataset",
"forecast:DescribeForecast",
"forecast:DescribeForecastExportJob",
"forecast:DescribePredictorBacktestExportJob",
"forecast:GetAccuracyMetrics",
"forecast:InvokeForecastEndpoint",
"forecast:GetRecentForecastContext",
"forecast:DescribePredictor",
"forecast:TagResource",
"forecast:DeleteResourceTree"
],
"Resource": [
"arn:aws:forecast:*:*:*Canvas*"
]
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "IAMPassOperationForForecast",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "forecast.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:PutScalingPolicy",
"application-autoscaling:RegisterScalableTarget"
],
"Resource": "arn:aws:application-autoscaling:*:*:scalable-target/*",
"Condition": {
"StringEquals": {
"application-autoscaling:service-namespace": "sagemaker",
"application-autoscaling:scalable-dimension": "sagemaker:variant:DesiredInstanceCount"
}
}
},
{
"Sid": "AsyncEndpointOperations",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"sagemaker:DescribeEndpointConfig"
],
"Resource": "*"
},
{
"Sid": "DescribeScalingOperations",
"Effect": "Allow",
"Action": [
"application-autoscaling:DescribeScalingActivities"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "SageMakerCloudWatchUpdate",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm",
"cloudwatch:DeleteAlarms"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:TargetTracking*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AutoscalingSageMakerEndpointOperation",
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/sagemaker.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_SageMakerEndpoint",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "sagemaker.application-autoscaling.amazonaws.com"
}
}
},
{
"Sid": "AthenaOperation",
"Action": [
"athena:ListTableMetadata",
"athena:ListDataCatalogs",
"athena:ListDatabases"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "GlueOperation",
"Action": [
"glue:GetDatabases",
"glue:GetPartitions",
"glue:GetTables"
],
"Effect": "Allow",
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "QuicksightOperation",
"Action": [
"quicksight:ListNamespaces"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowUseOfKeyInAccount",
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Source": "SageMakerCanvas",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:StopApplication",
"emr-serverless:GetApplication",
"emr-serverless:StartApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política gerenciada: AmazonSageMakerCanvasDataPrepFullAccess
Essa política concede permissões que permitem acesso total à funcionalidade de preparação de dados do Amazon SageMaker Canvas. A política também fornece permissões de privilégio mínimo para os serviços que se integram à funcionalidade de preparação de dados [por exemplo, Amazon Simple Storage Service (Amazon S3), ( AWS Identity and Access Management IAM), Amazon EMR, Amazon, Amazon EventBridge Redshift, () e]. AWS Key Management Service AWS KMS AWS Secrets Manager
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker`: permite que as entidades principais acessem trabalhos de processamento, trabalhos de treinamento, pipelines de inferência, trabalhos de AutoML e grupos de atributos.
+ `athena`: permite que as entidades principais consultem uma lista de catálogos de dados, bancos de dados e metadados de tabelas do Amazon Athena.
+ `elasticmapreduce`: permite que as entidades principais leiam e listem os clusters do Amazon EMR.
+ `emr-serverless`: permite que as entidades principais criem e gerenciem aplicações e execuções de trabalho do Amazon EMR Sem Servidor. Também permite que os diretores marquem os recursos do SageMaker Canvas.
+ `events`— Permite que os diretores criem, leiam, atualizem e adicionem metas às EventBridge regras da Amazon para trabalhos agendados.
+ `glue`— Permite que os diretores obtenham e pesquisem tabelas de bancos de dados no AWS Glue catálogo.
+ `iam`— Permite que os diretores passem uma função do IAM para o Amazon SageMaker AI e o Amazon EMR Serverless. EventBridge Também permite que as entidades principais criem um perfil vinculado a serviço.
+ `kms`— permite que os diretores recuperem AWS KMS aliases armazenados em tarefas e endpoints e acessem a chave KMS associada.
+ `logs`: permite que as entidades principais publiquem logs de trabalhos de treinamento e endpoints.
+ `redshift`: permite que as entidades principais obtenham credenciais para acessar o banco de dados do Amazon Redshift.
+ `redshift-data`: permite que as entidades principais executem, cancelem, descrevam, listem e obtenham os resultados das consultas do Amazon Redshift. Também permite que as entidades principais listem esquemas e tabelas do Amazon Redshift.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker“, “Sagemaker” ou “sagemaker”; ou estão marcados com "SageMaker“, sem distinção entre maiúsculas e minúsculas.
+ `secretsmanager`: permite que as entidades principais armazenem e recuperem credenciais da base de dados de cliente usando o Secrets Manager.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerListFeatureGroupOperation",
"Effect": "Allow",
"Action": "sagemaker:ListFeatureGroups",
"Resource": "*"
},
{
"Sid": "SageMakerFeatureGroupOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateFeatureGroup",
"sagemaker:DescribeFeatureGroup"
],
"Resource": "arn:aws:sagemaker:*:*:feature-group/*"
},
{
"Sid": "SageMakerProcessingJobOperations",
"Effect": "Allow",
"Action": [
"sagemaker:CreateProcessingJob",
"sagemaker:DescribeProcessingJob",
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:processing-job/*canvas-data-prep*"
},
{
"Sid": "SageMakerProcessingJobListOperation",
"Effect": "Allow",
"Action": "sagemaker:ListProcessingJobs",
"Resource": "*"
},
{
"Sid": "SageMakerPipelineOperations",
"Effect": "Allow",
"Action": [
"sagemaker:DescribePipeline",
"sagemaker:CreatePipeline",
"sagemaker:UpdatePipeline",
"sagemaker:DeletePipeline",
"sagemaker:StartPipelineExecution",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:DescribePipelineExecution"
],
"Resource": "arn:aws:sagemaker:*:*:pipeline/*canvas-data-prep*"
},
{
"Sid": "KMSListOperations",
"Effect": "Allow",
"Action": "kms:ListAliases",
"Resource": "*"
},
{
"Sid": "KMSOperations",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "IAMListOperations",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*"
},
{
"Sid": "IAMGetOperations",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "IAMPassOperation",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com",
"events.amazonaws.com"
]
}
}
},
{
"Sid": "EventBridgePutOperation",
"Effect": "Allow",
"Action": [
"events:PutRule"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeOperations",
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutTargets"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeTagBasedOperations",
"Effect": "Allow",
"Action": [
"events:TagResource"
],
"Resource": "arn:aws:events:*:*:rule/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-data-prep-job": "true",
"aws:ResourceTag/sagemaker:is-canvas-data-prep-job": "true"
}
}
},
{
"Sid": "EventBridgeListTagOperation",
"Effect": "Allow",
"Action": "events:ListTagsForResource",
"Resource": "*"
},
{
"Sid": "GlueOperations",
"Effect": "Allow",
"Action": [
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:SearchTables"
],
"Resource": [
"arn:aws:glue:*:*:table/*",
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/*"
]
},
{
"Sid": "EMROperations",
"Effect": "Allow",
"Action": [
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:ListInstanceGroups"
],
"Resource": "arn:aws:elasticmapreduce:*:*:cluster/*"
},
{
"Sid": "EMRListOperation",
"Effect": "Allow",
"Action": "elasticmapreduce:ListClusters",
"Resource": "*"
},
{
"Sid": "AthenaListDataCatalogOperation",
"Effect": "Allow",
"Action": "athena:ListDataCatalogs",
"Resource": "*"
},
{
"Sid": "AthenaQueryExecutionOperations",
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": "arn:aws:athena:*:*:workgroup/*"
},
{
"Sid": "AthenaDataCatalogOperations",
"Effect": "Allow",
"Action": [
"athena:ListDatabases",
"athena:ListTableMetadata"
],
"Resource": "arn:aws:athena:*:*:datacatalog/*"
},
{
"Sid": "RedshiftOperations",
"Effect": "Allow",
"Action": [
"redshift-data:DescribeStatement",
"redshift-data:CancelStatement",
"redshift-data:GetStatementResult"
],
"Resource": "*"
},
{
"Sid": "RedshiftArnBasedOperations",
"Effect": "Allow",
"Action": [
"redshift-data:ExecuteStatement",
"redshift-data:ListSchemas",
"redshift-data:ListTables"
],
"Resource": "arn:aws:redshift:*:*:cluster:*"
},
{
"Sid": "RedshiftGetCredentialsOperation",
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbuser:*/sagemaker_access*",
"arn:aws:redshift:*:*:dbname:*"
]
},
{
"Sid": "SecretsManagerARNBasedOperation",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*"
},
{
"Sid": "SecretManagerTagBasedOperation",
"Effect": "Allow",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:AmazonSageMaker-*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "RDSOperation",
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Sid": "LoggingOperation",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/studio:*"
},
{
"Sid": "EMRServerlessCreateApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:CreateApplication",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListApplicationOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListApplications",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessApplicationOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:UpdateApplication",
"emr-serverless:GetApplication"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessStartJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:StartJobRun",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessListJobRunOperation",
"Effect": "Allow",
"Action": "emr-serverless:ListJobRuns",
"Resource": "arn:aws:emr-serverless:*:*:/applications/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessJobRunOperations",
"Effect": "Allow",
"Action": [
"emr-serverless:GetJobRun",
"emr-serverless:CancelJobRun"
],
"Resource": "arn:aws:emr-serverless:*:*:/applications/*/jobruns/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EMRServerlessTagResourceOperation",
"Effect": "Allow",
"Action": "emr-serverless:TagResource",
"Resource": "arn:aws:emr-serverless:*:*:/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/sagemaker:is-canvas-resource": "True",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMPassOperationForEMRServerless",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerCanvasEMRSExecutionAccess-*",
"arn:aws:iam::*:role/AmazonSageMakerCanvasEMRSExecutionAccess-*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "emr-serverless.amazonaws.com",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
## AWS política gerenciada: AmazonSageMakerCanvasDirectDeployAccess
Essa política concede as permissões necessárias para que o Amazon SageMaker Canvas crie e gerencie endpoints do Amazon SageMaker AI.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker`— Permite que os diretores criem e gerenciem endpoints de SageMaker IA com um nome de recurso ARN que comece com “Canvas” ou “canvas”.
+ `cloudwatch`— Permite que os diretores recuperem dados CloudWatch métricos da Amazon.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerEndpointPerms",
"Effect": "Allow",
"Action": [
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:DeleteEndpoint",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:InvokeEndpoint",
"sagemaker:UpdateEndpoint"
],
"Resource": [
"arn:aws:sagemaker:*:*:Canvas*",
"arn:aws:sagemaker:*:*:canvas*"
]
},
{
"Sid": "ReadCWInvocationMetrics",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerCanvas AIServices Acesso
Essa política concede permissões para o Amazon SageMaker Canvas usar o Amazon Textract, o Amazon Rekognition, o Amazon Comprehend e o Amazon Bedrock.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `textract`: permite que as entidades principais usem o Amazon Textract para detectar documentos, gastos e identidades em uma imagem.
+ `rekognition`: permite que as entidades principais usem o Amazon Rekognition para detectar rótulos e texto em uma imagem.
+ `comprehend`: permite que as entidades principais usem o Amazon Comprehend para detectar sentimentos, linguagem dominante e entidades de informações de identificação pessoal (PII) e nomeadas em um documento de texto.
+ `bedrock`: permite que as entidades principais usem o Amazon Bedrock para listar e invocar modelos básicos.
+ `iam`: permite que as entidades principais passem um perfil do IAM para o Amazon Bedrock.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Textract",
"Effect": "Allow",
"Action": [
"textract:AnalyzeDocument",
"textract:AnalyzeExpense",
"textract:AnalyzeID",
"textract:StartDocumentAnalysis",
"textract:StartExpenseAnalysis",
"textract:GetDocumentAnalysis",
"textract:GetExpenseAnalysis"
],
"Resource": "*"
},
{
"Sid": "Rekognition",
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectText"
],
"Resource": "*"
},
{
"Sid": "Comprehend",
"Effect": "Allow",
"Action": [
"comprehend:BatchDetectDominantLanguage",
"comprehend:BatchDetectEntities",
"comprehend:BatchDetectSentiment",
"comprehend:DetectPiiEntities",
"comprehend:DetectEntities",
"comprehend:DetectSentiment",
"comprehend:DetectDominantLanguage"
],
"Resource": "*"
},
{
"Sid": "Bedrock",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:ListFoundationModels",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": "*"
},
{
"Sid": "CreateBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob",
"bedrock:CreateProvisionedModelThroughput",
"bedrock:TagResource"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"SageMaker",
"Canvas"
]
},
"StringEquals": {
"aws:RequestTag/SageMaker": "true",
"aws:RequestTag/Canvas": "true",
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "GetStopAndDeleteBedrockResourcesPermission",
"Effect": "Allow",
"Action": [
"bedrock:GetModelCustomizationJob",
"bedrock:GetCustomModel",
"bedrock:GetProvisionedModelThroughput",
"bedrock:StopModelCustomizationJob",
"bedrock:DeleteProvisionedModelThroughput"
],
"Resource": [
"arn:aws:bedrock:*:*:model-customization-job/*",
"arn:aws:bedrock:*:*:custom-model/*",
"arn:aws:bedrock:*:*:provisioned-model/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/SageMaker": "true",
"aws:ResourceTag/Canvas": "true"
}
}
},
{
"Sid": "FoundationModelPermission",
"Effect": "Allow",
"Action": [
"bedrock:CreateModelCustomizationJob"
],
"Resource": [
"arn:aws:bedrock:*::foundation-model/*"
]
},
{
"Sid": "BedrockFineTuningPassRole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/*"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "bedrock.amazonaws.com"
}
}
}
]
}
```
## AWS política gerenciada: AmazonSageMakerCanvasBedrockAccess
Essa política concede as permissões normalmente necessárias para usar o Amazon SageMaker Canvas com o Amazon Bedrock.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3 no diretório "sagemaker-\$1/Canvas".
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3CanvasAccess",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/Canvas/*"
]
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerCanvasForecastAccess
Essa política concede as permissões normalmente necessárias para usar o Amazon SageMaker Canvas com o Amazon Forecast.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome começa com “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/Canvas",
"arn:aws:s3:::sagemaker-*/canvas"
]
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::sagemaker-*"
]
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerCanvas EMRServerless ExecutionRolePolicy
Essa política concede permissões ao Amazon EMR Serverless para AWS serviços, como o Amazon S3, usados pelo SageMaker Amazon Canvas para processamento de grandes volumes de dados.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome inclui "SageMaker" ou “sagemaker”; ou estão marcados com "SageMaker“, sem distinção entre maiúsculas e minúsculas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Operations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*sagemaker*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3GetObjectOperation",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "S3ListOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerCanvas SMData ScienceAssistantAccess
Essa política concede permissões aos usuários do Amazon SageMaker Canvas para iniciar conversas com o Amazon Q Developer. Esse recurso requer permissões tanto para o Amazon Q Developer quanto para o serviço SageMaker AI Data Science Assistant.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `q`: permite que as entidades principais enviem solicitações ao Amazon Q Developer.
+ `sagemaker-data-science-assistant`— Permite que os diretores enviem solicitações para o serviço SageMaker Canvas Data Science Assistant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "SageMakerDataScienceAssistantAccess",
"Effect": "Allow",
"Action": [
"sagemaker-data-science-assistant:SendConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AmazonQDeveloperAccess",
"Effect": "Allow",
"Action": [
"q:SendMessage",
"q:StartConversation"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Amazon SageMaker Canvas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do SageMaker Canvas desde que esse serviço começou a rastrear essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - Atualização em uma política existente | 2 | Adicione a permissão `q:StartConversation`. | 14 de janeiro de 2025 |
| [AmazonSageMakerCanvasSMDataScienceAssistantAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasSMDataScienceAssistantAccess) - Nova política | 1 | Política inicial | 4 de dezembro de 2024 |
| [AmazonSageMakerCanvasDataPrepFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDataPrepFullAccess) - Atualização em uma política existente | 4 | Adicione recurso à permissão `IAMPassOperationForEMRServerless`. | 16 de agosto de 2024 |
| [AmazonSageMakerCanvasFullAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasFullAccess) - Atualização em uma política existente | 11 | Adicione recurso à permissão `IAMPassOperationForEMRServerless`. | 15 de agosto de 2024 |
| [AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy](#security-iam-awsmanpol-AmazonSageMakerCanvasEMRServerlessExecutionRolePolicy) - Nova política | 1 | Política inicial | 26 de julho de 2024 |
| AmazonSageMakerCanvasDataPrepFullAccess - Atualização em uma política existente | 3 | Adicione as permissões `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` e `emr-serverless:TagResource` . | 18 de julho de 2024 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 10 | Adicione as permissões `application-autoscaling:DescribeScalingActivities` `iam:PassRole`, `kms:DescribeKey` e `quicksight:ListNamespaces`. Adicione as permissões `sagemaker:CreateTrainingJob`, `sagemaker:CreateTransformJob`, `sagemaker:DescribeTrainingJob`, `sagemaker:DescribeTransformJob`, `sagemaker:StopAutoMLJob`, `sagemaker:StopTrainingJob` e `sagemaker:StopTransformJob`. Adicione permissões `athena:ListTableMetadata`, `athena:ListDataCatalogs` e `athena:ListDatabases`. Adicione permissões `glue:GetDatabases`, `glue:GetPartitions` e `glue:GetTables`. Adicione as permissões `emr-serverless:CreateApplication`, `emr-serverless:ListApplications`, `emr-serverless:UpdateApplication`, `emr-serverless:StopApplication`, `emr-serverless:GetApplication`, `emr-serverless:StartApplication`, `emr-serverless:StartJobRun`, `emr-serverless:ListJobRuns`, `emr-serverless:GetJobRun`, `emr-serverless:CancelJobRun` e `emr-serverless:TagResource`. | 9 de julho de 2024 |
| [AmazonSageMakerCanvasBedrockAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasBedrockAccess) - Nova política | 1 | Política inicial | 2 de fevereiro de 2024 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 9 | Adicione a permissão `sagemaker:ListEndpoints`. | 24 de janeiro de 2024 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 8 | Adicione as permissões `sagemaker:UpdateEndpointWeightsAndCapacities`, `sagemaker:DescribeEndpointConfig`, `sagemaker:InvokeEndpointAsync`, `athena:ListDataCatalogs`, `athena:GetQueryExecution`, `athena:GetQueryResults`, `athena:StartQueryExecution`, `athena:StopQueryExecution`, `athena:ListDatabases`, `cloudwatch:DescribeAlarms`, `cloudwatch:PutMetricAlarm`, `cloudwatch:DeleteAlarms` e `iam:CreateServiceLinkedRole`. | 8 de dezembro de 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Atualização em uma política existente | 2 | Pequena atualização para reforçar as intenções da política anterior, versão 1; nenhuma permissão foi adicionada ou excluída. | 7 de dezembro de 2023 |
| [AmazonSageMakerCanvasAIServicesAcesso](#security-iam-awsmanpol-AmazonSageMakerCanvasAIServicesAccess) - Atualização em uma política existente | 3 | Adicione as permissões `bedrock:InvokeModelWithResponseStream`, `bedrock:GetModelCustomizationJob`, `bedrock:StopModelCustomizationJob`, `bedrock:GetCustomModel`, `bedrock:GetProvisionedModelThroughput`, `bedrock:DeleteProvisionedModelThroughput`, `bedrock:TagResource`, `bedrock:CreateModelCustomizationJob`, `bedrock:CreateProvisionedModelThroughput` e `iam:PassRole`. | 29 de novembro de 2023 |
| AmazonSageMakerCanvasDataPrepFullAccess - Nova política | 1 | Política inicial | 26 de outubro de 2023 |
| [AmazonSageMakerCanvasDirectDeployAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasDirectDeployAccess) - Nova política | 1 | Política inicial | 6 de outubro de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 7 | Adicione permissões `sagemaker:DeleteEndpointConfig`, `sagemaker:DeleteModel` e `sagemaker:InvokeEndpoint`. Adicione também `s3:GetObject` permissão para JumpStart recursos em regiões específicas. | 29 de setembro de 2023 |
| AmazonSageMakerCanvasAIServicesAcesso - Atualização de uma política existente | 2 | Adicione permissões `bedrock:InvokeModel` e `bedrock:ListFoundationModels`. | 29 de setembro de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 6 | Adicione a permissão `rds:DescribeDBInstances`. | 29 de agosto de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 5 | Adicione permissões `application-autoscaling:PutScalingPolicy` e `application-autoscaling:RegisterScalableTarget`. | 24 de julho de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 4 | Adicione permissões `sagemaker:CreateModelPackage`, `sagemaker:CreateModelPackageGroup`, `sagemaker:DescribeModelPackage`, `sagemaker:DescribeModelPackageGroup`, `sagemaker:ListModelPackages` e `sagemaker:ListModelPackageGroups`. | 4 de maio de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 3 | Adicione permissões `sagemaker:CreateAutoMLJobV2`, `sagemaker:DescribeAutoMLJobV2` e `glue:SearchTables`. | 24 de março de 2023 |
| AmazonSageMakerCanvasAIServicesAcesso - Nova política | 1 | Política inicial | 23 de março de 2023 |
| AmazonSageMakerCanvasFullAccess - Atualização de uma política existente | 2 | Adicione a permissão `forecast:DeleteResourceTree`. | 6 de dezembro de 2022 |
| AmazonSageMakerCanvasFullAccess - Nova política | 1 | Política inicial | 8 de setembro de 2022 |
| [AmazonSageMakerCanvasForecastAccess](#security-iam-awsmanpol-AmazonSageMakerCanvasForecastAccess) - Nova política | 1 | Política inicial | 24 de agosto de 2022 |
# AWS políticas gerenciadas para a Amazon SageMaker Feature Store
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o Feature Store. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess)
+ [Atualizações da Amazon SageMaker AI para as políticas gerenciadas da Amazon SageMaker Feature Store](#security-iam-awsmanpol-feature-store-updates)
## AWS política gerenciada: AmazonSageMakerFeatureStoreAccess
Essa política concede as permissões necessárias para habilitar a loja off-line para um grupo de SageMaker recursos da Amazon Feature Store.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais gravem dados em um bucket do Amazon S3 do armazenamento offline. Esses compartimentos são limitados àqueles cujo nome inclui "SageMaker“, “Sagemaker” ou “sagemaker”.
+ `s3`: permite que as entidades principais leiam os arquivos de manifesto existentes mantidos na pasta de `metadata` de um bucket S3 do armazenamento offline.
+ `glue`— Permite que os diretores leiam e atualizem as tabelas AWS Glue. Essas permissões são limitadas às tabelas na pasta `sagemaker_featurestore`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketAcl",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*/metadata/*",
"arn:aws:s3:::*Sagemaker*/metadata/*",
"arn:aws:s3:::*sagemaker*/metadata/*"
]
},
{
"Effect": "Allow",
"Action": [
"glue:GetTable",
"glue:UpdateTable"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/sagemaker_featurestore",
"arn:aws:glue:*:*:table/sagemaker_featurestore/*"
]
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas da Amazon SageMaker Feature Store
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Feature Store desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerFeatureStoreAccess](#security-iam-awsmanpol-AmazonSageMakerFeatureStoreAccess) - Atualização em uma política existente | 3 | Adicione permissões `s3:GetObject`, `glue:GetTable` e `glue:UpdateTable`. | 5 de dezembro de 2022 |
| AmazonSageMakerFeatureStoreAccess - Atualização de uma política existente | 2 | Adicione a permissão `s3:PutObjectAcl`. | 23 de fevereiro de 2021 |
| AmazonSageMakerFeatureStoreAccess - Nova política | 1 | Política inicial | 1º de dezembro de 2020 |
# AWS políticas gerenciadas para o setor SageMaker geoespacial da Amazon
Essas políticas AWS gerenciadas adicionam as permissões necessárias para o uso SageMaker geoespacial. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess)
+ [AWS política gerenciada: AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole)
+ [Atualizações da Amazon SageMaker AI para as políticas SageMaker gerenciadas geoespaciais da Amazon](#security-iam-awsmanpol-geospatial-updates)
## AWS política gerenciada: AmazonSageMakerGeospatialFullAccess
Essa política concede permissões que permitem acesso total à SageMaker região geoespacial da Amazon por meio do Console de gerenciamento da AWS SDK.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker-geospatial`— Permite aos diretores acesso total a todos os recursos SageMaker geoespaciais.
+ `iam`— Permite que os diretores passem uma função do IAM para o setor SageMaker geoespacial.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker-geospatial.amazonaws.com"
]
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerGeospatialExecutionRole
Essa política concede as permissões normalmente necessárias para o uso SageMaker geoespacial.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome contém "SageMaker“, “Sagemaker” ou “sagemaker”.
+ `sagemaker-geospatial`: permite que as entidades principais acessem trabalhos de observação da Terra por meio da API `GetEarthObservationJob` .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:PutObject",
"s3:GetObject",
"s3:ListBucketMultipartUploads"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetEarthObservationJob",
"Resource": "arn:aws:sagemaker-geospatial:*:*:earth-observation-job/*"
},
{
"Effect": "Allow",
"Action": "sagemaker-geospatial:GetRasterDataCollection",
"Resource": "arn:aws:sagemaker-geospatial:*:*:raster-data-collection/*"
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas SageMaker gerenciadas geoespaciais da Amazon
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para áreas SageMaker geoespaciais desde que esse serviço começou a rastrear essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerGeospatialExecutionRole](#security-iam-awsmanpol-AmazonSageMakerGeospatialExecutionRole): política atualizada | 2 | Adicione a permissão `sagemaker-geospatial:GetRasterDataCollection`. | 10 de maio de 2023 |
| [AmazonSageMakerGeospatialFullAccess](#security-iam-awsmanpol-AmazonSageMakerGeospatialFullAccess) - Nova política | 1 | Política inicial | 30 de novembro de 2022 |
| AmazonSageMakerGeospatialExecutionRole - Nova política | 1 | Política inicial | 30 de novembro de 2022 |
# AWS Políticas gerenciadas para o Amazon SageMaker Ground Truth
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o SageMaker AI Ground Truth. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution)
+ [Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Ground Truth](#security-iam-awsmanpol-groundtruth-updates)
## AWS política gerenciada: AmazonSageMakerGroundTruthExecution
Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o SageMaker AI Ground Truth.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `lambda`— Permite que os diretores invoquem funções do Lambda cujo nome inclui “sagemaker” (sem distinção entre maiúsculas e minúsculas), "“ou"”. GtRecipe LabelingFunction
+ `s3`: permite que as entidades principais adicionem e recuperem objetos de buckets do Amazon S3. Esses objetos são limitados àqueles cujo nome que não diferencia maiúsculas de minúsculas contém “groundtruth” ou “sagemaker”, ou estão marcados com "”. SageMaker
+ `cloudwatch`— Permite que os diretores publiquem CloudWatch métricas.
+ `logs`: permite que as entidades principais criem e acessem fluxos de log e publiquem eventos de log.
+ `sqs`: permite que as entidades principais criem filas do Amazon SQS e enviem e recebam mensagens do Amazon SQS. Essas permissões são limitadas às filas cujo nome inclui "GroundTruth”.
+ `sns`: permite que as entidades principais assinem e publiquem mensagens em tópicos do Amazon SNS cujo nome, sem distinção entre maiúsculas e minúsculas, contém “groundtruth” ou “sagemaker”.
+ `ec2`— Permite que os diretores criem, descrevam e excluam endpoints da Amazon VPC cujo nome de serviço de endpoint de VPC sagemaker-task-resources contenha "" ou “rotulagem”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CustomLabelingJobs",
"Effect": "Allow",
"Action": [
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:*GtRecipe*",
"arn:aws:lambda:*:*:function:*LabelingFunction*",
"arn:aws:lambda:*:*:function:*SageMaker*",
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*Sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:GetObject",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::*GroundTruth*",
"arn:aws:s3:::*Groundtruth*",
"arn:aws:s3:::*groundtruth*",
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": "*",
"Condition": {
"StringEqualsIgnoreCase": {
"s3:ExistingObjectTag/SageMaker": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket"
],
"Resource": "*"
},
{
"Sid": "CloudWatch",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData",
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "*"
},
{
"Sid": "StreamingQueue",
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:DeleteMessage",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"sqs:ReceiveMessage",
"sqs:SendMessage",
"sqs:SetQueueAttributes"
],
"Resource": "arn:aws:sqs:*:*:*GroundTruth*"
},
{
"Sid": "StreamingTopicSubscribe",
"Effect": "Allow",
"Action": "sns:Subscribe",
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
],
"Condition": {
"StringEquals": {
"sns:Protocol": "sqs"
},
"StringLike": {
"sns:Endpoint": "arn:aws:sqs:*:*:*GroundTruth*"
}
}
},
{
"Sid": "StreamingTopic",
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:*:*GroundTruth*",
"arn:aws:sns:*:*:*Groundtruth*",
"arn:aws:sns:*:*:*groundTruth*",
"arn:aws:sns:*:*:*groundtruth*",
"arn:aws:sns:*:*:*SageMaker*",
"arn:aws:sns:*:*:*Sagemaker*",
"arn:aws:sns:*:*:*sageMaker*",
"arn:aws:sns:*:*:*sagemaker*"
]
},
{
"Sid": "StreamingTopicUnsubscribe",
"Effect": "Allow",
"Action": [
"sns:Unsubscribe"
],
"Resource": "*"
},
{
"Sid": "WorkforceVPC",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"ec2:VpceServiceName": [
"*sagemaker-task-resources*",
"aws.sagemaker*labeling*"
]
}
}
}
]
}
```
------
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Ground Truth
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon SageMaker AI Ground Truth desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerGroundTruthExecution](#security-iam-awsmanpol-gt-AmazonSageMakerGroundTruthExecution) - Atualização em uma política existente | 3 | Adicione permissões `ec2:CreateVpcEndpoint`, `ec2:DescribeVpcEndpoints` e `ec2:DeleteVpcEndpoints`. | 29 de abril de 2022 |
| AmazonSageMakerGroundTruthExecution - Atualização de uma política existente | 2 | Remova a permissão `sqs:SendMessageBatch`. | 11 de abril de 2022 |
| AmazonSageMakerGroundTruthExecution - Nova política | 1 | Política inicial | 20 de julho de 2020 |
# AWS políticas gerenciadas para a Amazon SageMaker HyperPod
As políticas AWS gerenciadas a seguir adicionam as permissões necessárias para usar a Amazon SageMaker HyperPod. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA ou na função HyperPod vinculada ao serviço.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md)
+ [AWS política gerenciada: AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md)
+ [AWS política gerenciada: AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md)
+ [AWS política gerenciada: AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md)
+ [Atualizações da Amazon SageMaker AI para políticas SageMaker HyperPod gerenciadas](#security-iam-awsmanpol-hyperpod-updates)
# AWS política gerenciada: AmazonSageMakerHyperPodTrainingOperatorAccess
Essa política fornece as permissões administrativas necessárias para configurar o operador SageMaker HyperPod de treinamento. Ele permite o acesso SageMaker HyperPod e os complementos do Amazon EKS. A política inclui permissões para descrever os SageMaker HyperPod recursos em sua conta.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `sagemaker:DescribeClusterNode`- Permite que os usuários retornem informações sobre um HyperPod cluster.
Para ver as permissões dessa política, consulte [AmazonSageMakerHyperPodTrainingOperatorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html)na Referência de política AWS gerenciada.
# AWS política gerenciada: AmazonSageMakerHyperPodObservabilityAdminAccess
Essa política fornece os privilégios administrativos necessários para configurar a SageMaker HyperPod observabilidade da Amazon. Permite acesso aos complementos do Amazon Managed Service for Prometheus, do Amazon Managed Grafana e do Amazon Elastic Kubernetes Service. A política também inclui amplo acesso ao HTTP da Grafana ServiceAccountTokens em todos os espaços APIs de trabalho da Amazon Managed Grafana em sua conta.
**Detalhes de permissões**
A lista a seguir apresenta uma visão geral das permissões incluídas nesta política.
+ `prometheus`: criar e gerenciar o Amazon Managed Service for Prometheus, espaços de trabalho e grupos de regras do Prometheus.
+ `grafana`: criar e gerenciar espaços de trabalho e contas de serviço do Amazon Managed Grafana.
+ `eks`: criar e gerenciar o complemento `amazon-sagemaker-hyperpod-observability` do Amazon EKS.
+ `iam`: transmitir perfis de serviço específicos do IAM para o Amazon Managed Grafana e o Amazon EKS.
+ `sagemaker`— Lista e descreve SageMaker HyperPod clusters
+ `sso`: criar e gerenciar instâncias de aplicação do Centro de Identidade do IAM para configuração do Amazon Managed Grafana.
+ `tag`: atribuir tags a recursos complementares do Amazon Managed Service for Prometheus, Amazon Managed Grafana e do Amazon EKS.
Para ver a política JSON, consulte [AmazonSageMakerHyperPodObservabilityAdminAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodObservabilityAdminAccess.html).
# AWS política gerenciada: AmazonSageMakerHyperPodServiceRolePolicy
SageMaker HyperPod cria e usa a função vinculada ao serviço nomeada `AWSServiceRoleForSageMakerHyperPod` com a função `AmazonSageMakerHyperPodServiceRolePolicy` anexada. Essa política concede SageMaker HyperPod permissões à Amazon para AWS serviços relacionados, como Amazon EKS e Amazon CloudWatch.
A função vinculada ao serviço facilita a configuração SageMaker HyperPod porque você não precisa adicionar manualmente as permissões necessárias. SageMaker HyperPod define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só SageMaker HyperPod pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus SageMaker HyperPod recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
O `AmazonSageMakerHyperPodServiceRolePolicy` permite SageMaker HyperPod concluir as seguintes ações nos recursos especificados em seu nome.
**Detalhes das permissões**
Esse perfil vinculado a serviço inclui as permissões a seguir.
+ `eks`: permite que as entidades principais leiam informações de cluster do Amazon Elastic Kubernetes Service (EKS).
+ `logs`— Permite que os diretores publiquem fluxos de CloudWatch log da Amazon no. `/aws/sagemaker/Clusters`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EKSClusterDescribePermissions",
"Effect": "Allow",
"Action": "eks:DescribeCluster",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogGroupPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CloudWatchLogStreamPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para SageMaker HyperPod
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um SageMaker HyperPod cluster usando o console de SageMaker IA, o AWS CLI, ou o AWS SDKs, SageMaker HyperPod cria a função vinculada ao serviço para você.
Se você excluir essa função vinculada ao serviço, mas precisar criá-la novamente, poderá usar o mesmo processo (criar um novo SageMaker HyperPod cluster) para recriar a função em sua conta.
## Editando uma função vinculada ao serviço para SageMaker HyperPod
SageMaker HyperPod não permite que você edite a função `AWSServiceRoleForSageMakerHyperPod` vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para SageMaker HyperPod
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**Para excluir recursos de SageMaker HyperPod cluster usando a função vinculada ao serviço**
Use uma das opções a seguir para excluir recursos SageMaker HyperPod do cluster.
+ [Excluir um SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-console-ui.html#sagemaker-hyperpod-operate-slurm-console-ui-delete-cluster) usando o console de SageMaker IA
+ [Exclua um SageMaker HyperPod cluster](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-operate-slurm-cli-command.html#sagemaker-hyperpod-operate-slurm-cli-command-delete-cluster) usando o AWS CLI
**nota**
Se o SageMaker HyperPod serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função `AWSServiceRoleForSageMakerHyperPod` vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas a SageMaker HyperPod serviços
SageMaker HyperPod suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Pré-requisitos para](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-prerequisites.html). SageMaker HyperPod
# AWS política gerenciada: AmazonSageMakerClusterInstanceRolePolicy
Essa política concede as permissões normalmente necessárias para usar a Amazon SageMaker HyperPod.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `cloudwatch`— Permite que os diretores publiquem CloudWatch métricas da Amazon.
+ `logs`— Permite que os diretores publiquem fluxos de CloudWatch registros.
+ `s3`: permite que as entidades principais listem e recuperem arquivos de script de ciclo de vida a partir de um bucket do Amazon S3 em sua conta. Os buckets estão limitados àqueles cujo nome começa com “sagemaker-”.
+ `ssmmessages`: permite que as entidades principais abram uma conexão com o AWS Systems Manager.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid" : "CloudwatchLogStreamPublishPermissions",
"Effect" : "Allow",
"Action" : [
"logs:PutLogEvents",
"logs:CreateLogStream",
"logs:DescribeLogStreams"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*:log-stream:*"
]
},
{
"Sid" : "CloudwatchLogGroupCreationPermissions",
"Effect" : "Allow",
"Action" : [
"logs:CreateLogGroup"
],
"Resource" : [
"arn:aws:logs:*:*:log-group:/aws/sagemaker/Clusters/*"
]
},
{
"Sid" : "CloudwatchPutMetricDataAccess",
"Effect" : "Allow",
"Action" : [
"cloudwatch:PutMetricData"
],
"Resource" : [
"*"
],
"Condition" : {
"StringEquals" : {
"cloudwatch:namespace" : "/aws/sagemaker/Clusters"
}
}
},
{
"Sid" : "DataRetrievalFromS3BucketPermissions",
"Effect" : "Allow",
"Action" : [
"s3:ListBucket",
"s3:GetObject"
],
"Resource" : [
"arn:aws:s3:::sagemaker-*"
],
"Condition" : {
"StringEquals" : {
"aws:ResourceAccount" : "${aws:PrincipalAccount}"
}
}
},
{
"Sid" : "SSMConnectivityPermissions",
"Effect" : "Allow",
"Action" : [
"ssmmessages:CreateControlChannel",
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenControlChannel",
"ssmmessages:OpenDataChannel"
],
"Resource" : "*"
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para políticas SageMaker HyperPod gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas SageMaker HyperPod desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerHyperPodTrainingOperatorAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodTrainingOperatorAccess.md) - Nova política | 1 | Política inicial | 22 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md): política atualizada | 2 | A política foi atualizada para corrigir a redução do escopo de perfil e incluir o prefixo `service-role`. Também foram adicionadas permissões para `eks:DeletePodIdentityAssociation` e `eks:UpdatePodIdentityAssociation` que são necessárias para ações end-to-end administrativas. | 19 de agosto de 2025 |
| [AmazonSageMakerHyperPodObservabilityAdminAccess](security-iam-awsmanpol-AmazonSageMakerHyperPodObservabilityAdminAccess.md) - Nova política | 1 | Política inicial | 10 de julho de 2025 |
| [AmazonSageMakerHyperPodServiceRolePolicy](security-iam-awsmanpol-AmazonSageMakerHyperPodServiceRolePolicy.md) - Nova política | 1 | Política inicial | 9 de setembro de 2024 |
| [AmazonSageMakerClusterInstanceRolePolicy](security-iam-awsmanpol-AmazonSageMakerClusterInstanceRolePolicy.md) - Nova política | 1 | Política inicial | 29 de novembro de 2023 |
# AWS Políticas gerenciadas para governança do modelo de SageMaker IA
Essa política AWS gerenciada adiciona as permissões necessárias para usar o SageMaker AI Model Governance. A política está disponível em sua AWS conta e é usada por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess)
+ [Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Model Governance](#security-iam-awsmanpol-governance-updates)
## AWS política gerenciada: AmazonSageMakerModelGovernanceUseAccess
Essa política AWS gerenciada concede as permissões necessárias para usar todos os recursos de governança de SageMaker IA da Amazon. A política está disponível em sua AWS conta.
Esta política inclui as seguintes permissões.
+ `s3`: recupera objetos dos buckets do Amazon S3. Os objetos recuperáveis são limitados àqueles cujo nome que não diferencia maiúsculas de minúsculas contenha a sequência. `"sagemaker"`
+ `kms`— Liste as AWS KMS chaves a serem usadas para criptografia de conteúdo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSMMonitoringModelCards",
"Effect": "Allow",
"Action": [
"sagemaker:ListMonitoringAlerts",
"sagemaker:ListMonitoringExecutions",
"sagemaker:UpdateMonitoringAlert",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StopMonitoringSchedule",
"sagemaker:ListMonitoringAlertHistory",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:CreateModelCard",
"sagemaker:DescribeModelCard",
"sagemaker:UpdateModelCard",
"sagemaker:DeleteModelCard",
"sagemaker:ListModelCards",
"sagemaker:ListModelCardVersions",
"sagemaker:CreateModelCardExportJob",
"sagemaker:DescribeModelCardExportJob",
"sagemaker:ListModelCardExportJobs"
],
"Resource": "*"
},
{
"Sid": "AllowSMTrainingModelsSearchTags",
"Effect": "Allow",
"Action": [
"sagemaker:ListTrainingJobs",
"sagemaker:DescribeTrainingJob",
"sagemaker:ListModels",
"sagemaker:DescribeModel",
"sagemaker:Search",
"sagemaker:AddTags",
"sagemaker:DeleteTags",
"sagemaker:ListTags"
],
"Resource": "*"
},
{
"Sid": "AllowKMSActions",
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Sid": "AllowS3Actions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:CreateBucket",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AllowS3ListActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
}
]
}
```
------
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Model Governance
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para o SageMaker AI Model Governance desde que esse serviço começou a monitorar essas mudanças. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerModelGovernanceUseAccess](#security-iam-awsmanpol-governance-AmazonSageMakerModelGovernanceUseAccess) - Atualização em uma política existente | 3 | Adicionar declaração IDs (`Sid`). | 4 de junho de 2024 |
| AmazonSageMakerModelGovernanceUseAccess - Atualização de uma política existente | 2 | Adicione permissões `sagemaker:DescribeModelPackage` e `DescribeModelPackageGroup`. | 17 de julho de 2023 |
| AmazonSageMakerModelGovernanceUseAccess - Nova política | 1 | Política inicial | 30 de novembro de 2022 |
# AWS Políticas gerenciadas para registro de modelos
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar o Model Registry. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console Amazon SageMaker AI.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess)
+ [Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Model Registry](#security-iam-awsmanpol-model-registry-updates)
## AWS política gerenciada: AmazonSageMakerModelRegistryFullAccess
Essa política AWS gerenciada concede as permissões necessárias para usar todos os recursos do Model Registry dentro de um domínio Amazon SageMaker AI. Essa política é anexada a um perfil de execução ao definir as configurações do Registro de Modelos para habilitar as permissões do Registro de Modelos.
Esta política inclui as seguintes permissões.
+ `ecr`: permite que as entidades principais recuperem informações, incluindo metadados, sobre imagens do Amazon Elastic Container Registry (Amazon ECR).
+ `iam`— Permite que os diretores passem a função de execução para o serviço Amazon SageMaker AI.
+ `resource-groups`— Permite que os diretores criem, listem, marquem e AWS Resource Groups excluam.
+ `s3`: permite que entidades principais recuperem objetos dos buckets do Amazon Simple Storage Service (Amazon S3) nos quais as versões do modelo são armazenadas. Os objetos recuperáveis são limitados àqueles cujo nome que não diferencia maiúsculas de minúsculas contenha a sequência. `"sagemaker"`
+ `sagemaker`— Permite que os diretores cataloguem, gerenciem e implantem modelos usando o Registro de SageMaker Modelos.
+ `kms`— Permite que somente o diretor do serviço de SageMaker IA adicione uma concessão, gere chaves de dados, decodifique e leia AWS KMS chaves, e somente chaves marcadas para uso como “sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerModelRegistrySageMakerReadPermission",
"Effect": "Allow",
"Action": [
"sagemaker:DescribeAction",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineExecution",
"sagemaker:ListAssociations",
"sagemaker:ListArtifacts",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackages",
"sagemaker:Search",
"sagemaker:GetSearchSuggestions"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistrySageMakerWritePermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags",
"sagemaker:CreateModel",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteTags",
"sagemaker:UpdateModelPackage"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryS3GetPermission",
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::*SageMaker*",
"arn:aws:s3:::*Sagemaker*",
"arn:aws:s3:::*sagemaker*"
]
},
{
"Sid": "AmazonSageMakerModelRegistryS3ListPermission",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryECRReadPermission",
"Effect": "Allow",
"Action": [
"ecr:BatchGetImage",
"ecr:DescribeImages"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryIAMPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "sagemaker.amazonaws.com"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryTagReadPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupGetPermission",
"Effect": "Allow",
"Action": [
"resource-groups:GetGroupQuery"
],
"Resource": "arn:aws:resource-groups:*:*:group/*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupListPermission",
"Effect": "Allow",
"Action": [
"resource-groups:ListGroupResources"
],
"Resource": "*"
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupWritePermission",
"Effect": "Allow",
"Action": [
"resource-groups:CreateGroup",
"resource-groups:Tag"
],
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "sagemaker:collection"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceGroupDeletePermission",
"Effect": "Allow",
"Action": "resource-groups:DeleteGroup",
"Resource": "arn:aws:resource-groups:*:*:group/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker:collection": "true"
}
}
},
{
"Sid": "AmazonSageMakerModelRegistryResourceKMSPermission",
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/sagemaker" : "true"
},
"StringLike": {
"kms:ViaService": "sagemaker.*.amazonaws.com"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI nas políticas gerenciadas do Model Registry
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Model Registry desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerModelRegistryFullAccess](#security-iam-awsmanpol-model-registry-AmazonSageMakerModelRegistryFullAccess) - Atualização em uma política existente | 2 | Adicione as permissões `kms:CreateGrant`, `kms:DescribeKey`, `kms:GenerateDataKey` e `kms:Decrypt`. | 6 de junho de 2024 |
| AmazonSageMakerModelRegistryFullAccess - Nova política | 1 | Política inicial | 12 de abril de 2023 |
# AWS Políticas gerenciadas para SageMaker notebooks
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar os SageMaker Notebooks. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy)
+ [Atualizações da Amazon SageMaker AI para as políticas gerenciadas do SageMaker AI Notebooks](#security-iam-awsmanpol-notebooks-updates)
## AWS política gerenciada: AmazonSageMakerNotebooksServiceRolePolicy
Essa política AWS gerenciada concede as permissões normalmente necessárias para usar o Amazon SageMaker Notebooks. A política é adicionada à `AWSServiceRoleForAmazonSageMakerNotebooks` que é criada quando você se integra ao Amazon SageMaker Studio Classic. Para obter mais informações sobre os perfis vinculados ao serviço, consulte [Perfis vinculados ao serviço](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked). Para obter mais informações, consulte [AmazonSageMakerNotebooksServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerNotebooksServiceRolePolicy.html).
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `elasticfilesystem`: permite que as entidades principais criem e excluam sistemas de arquivos, pontos de acesso e destinos de montagem do Amazon Elastic File System (EFS). Eles são limitados aos marcados com a chave *ManagedByAmazonSageMakerResource*. Permite que as entidades principais descrevam todos os sistemas de arquivos EFS, pontos de acesso e destinos de montagem. Permite que as entidades principais criem ou sobrescrevam tags para pontos de acesso do EFS e alvos de montagem.
+ `ec2`: permite que as entidades principais criem interfaces de rede e grupos de segurança para instâncias do Amazon Elastic Compute Cloud (EC2). Também permite que as entidades principais criem e substituam tags para esses recursos.
+ `sso`: permite que as entidades principais adicionem e excluam instâncias de aplicações gerenciadas em . Centro de Identidade do AWS IAM
+ `sagemaker`— Permite que os diretores criem e leiam SageMaker perfis de usuário e espaços de SageMaker IA; excluam espaços de SageMaker IA e aplicativos de SageMaker IA; e adicionem e listem tags.
+ `fsx`— Permite que os diretores descrevam o sistema de arquivos Amazon FSx for Lustre e usem os metadados para montá-lo no notebook.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowFSxDescribe",
"Effect": "Allow",
"Action": [
"fsx:DescribeFileSystems"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AllowSageMakerDeleteApp",
"Effect": "Allow",
"Action": [
"sagemaker:DeleteApp"
],
"Resource": "arn:aws:sagemaker:*:*:app/*"
},
{
"Sid": "AllowEFSAccessPointCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateAccessPoint",
"Resource": "arn:aws:elasticfilesystem:*:*:file-system/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*",
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSAccessPointDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DeleteAccessPoint"
],
"Resource": "arn:aws:elasticfilesystem:*:*:access-point/*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSCreation",
"Effect": "Allow",
"Action": "elasticfilesystem:CreateFileSystem",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:RequestTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSMountWithDeletion",
"Effect": "Allow",
"Action": [
"elasticfilesystem:CreateMountTarget",
"elasticfilesystem:DeleteFileSystem",
"elasticfilesystem:DeleteMountTarget"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEFSDescribe",
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeAccessPoints",
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:DescribeMountTargets"
],
"Resource": "*"
},
{
"Sid": "AllowEFSTagging",
"Effect": "Allow",
"Action": "elasticfilesystem:TagResource",
"Resource": [
"arn:aws:elasticfilesystem:*:*:access-point/*",
"arn:aws:elasticfilesystem:*:*:file-system/*"
],
"Condition": {
"StringLike": {
"aws:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowEC2Tagging",
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "AllowEC2Operations",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateSecurityGroup",
"ec2:DeleteNetworkInterface",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
},
{
"Sid": "AllowEC2AuthZ",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/ManagedByAmazonSageMakerResource": "*"
}
}
},
{
"Sid": "AllowIdcOperations",
"Effect": "Allow",
"Action": [
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:GetManagedApplicationInstance"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerProfileCreation",
"Effect": "Allow",
"Action": [
"sagemaker:CreateUserProfile",
"sagemaker:DescribeUserProfile"
],
"Resource": "*"
},
{
"Sid": "AllowSagemakerSpaceOperationsForCanvasManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:CreateSpace",
"sagemaker:DescribeSpace",
"sagemaker:DeleteSpace",
"sagemaker:ListTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*"
},
{
"Sid": "AllowSagemakerAddTagsForAppManagedSpaces",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": "arn:aws:sagemaker:*:*:space/*/CanvasManagedSpace-*",
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": "CreateSpace"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas do SageMaker AI Notebooks
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Atualização em uma política existente | 10 | Adicione a permissão `fsx:DescribeFileSystems`. | 14 de novembro de 2024 |
| [AmazonSageMakerNotebooksServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerNotebooksServiceRolePolicy) - Atualização em uma política existente | 9 | Adicione a permissão `sagemaker:DeleteApp`. | 24 de julho de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 8 | Adicione permissões `sagemaker:CreateSpace`, `sagemaker:DescribeSpace`, `sagemaker:DeleteSpace`, `sagemaker:ListTags` e `sagemaker:AddTags`. | 22 de maio de 2024 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 7 | Adicione a permissão `elasticfilesystem:TagResource`. | 9 de março de 2023 |
| AmazonSageMakerNotebooksServiceRolePolicy - Atualização de uma política existente | 6 | Adicione permissões `elasticfilesystem:CreateAccessPoint`, `elasticfilesystem:DeleteAccessPoint` e `elasticfilesystem:DescribeAccessPoints`. | 12 de janeiro de 2023 |
| | | SageMaker A IA começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 1º de junho de 2021 |
# AWS políticas gerenciadas para Amazon SageMaker Partner AI Apps
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar os Amazon SageMaker Partner AI Apps. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerPartnerAppsFullAccess](#security-iam-awsmanpol-AmazonSageMakerPartnerAppsFullAccess)
+ [Atualizações da Amazon SageMaker AI para as políticas gerenciadas do Partner AI Apps](#security-iam-awsmanpol-partner-apps-updates)
## AWS política gerenciada: AmazonSageMakerPartnerAppsFullAccess
Permite acesso administrativo total aos aplicativos de IA do Amazon SageMaker Partner.
**Detalhes das permissões**
Essa política AWS gerenciada inclui as seguintes permissões.
+ `sagemaker`— Permite que os usuários do Amazon SageMaker Partner AI App acessem aplicativos, listem aplicativos disponíveis, iniciem aplicativos na web UIs e se conectem usando o SDK do aplicativo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonSageMakerPartnerListAppsPermission",
"Effect": "Allow",
"Action": "sagemaker:ListPartnerApps",
"Resource": "*"
},
{
"Sid": "AmazonSageMakerPartnerAppsPermission",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePartnerAppPresignedUrl",
"sagemaker:DescribePartnerApp",
"sagemaker:CallPartnerAppApi"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
},
"Resource": "arn:aws:sagemaker:*:*:partner-app/*"
}
]
}
```
------
## Atualizações da Amazon SageMaker AI para as políticas gerenciadas do Partner AI Apps
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Partner AI Apps desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na [página de histórico de documentos](doc-history.md) do SageMaker AI.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| AmazonSageMakerPartnerAppsFullAccess - Nova política | 1 | Política inicial | 17 de janeiro de 2025 |
# AWS Políticas gerenciadas para SageMaker oleodutos
Essas políticas AWS gerenciadas adicionam as permissões necessárias para usar os SageMaker Pipelines. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations)
+ [Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Pipelines](#security-iam-awsmanpol-pipelines-updates)
## AWS política gerenciada: AmazonSageMakerPipelinesIntegrations
Essa política AWS gerenciada concede as permissões normalmente necessárias para usar etapas de retorno de chamada e etapas Lambda em pipelines. SageMaker A política é adicionada à `AmazonSageMaker-ExecutionRole` que é criada quando você se integra ao Amazon SageMaker Studio Classic. A política pode ser anexada a qualquer perfil usado para criar ou executar um pipeline.s
Essa política concede as permissões apropriadas para AWS Lambda, Amazon Simple Queue Service (Amazon SQS), EventBridge Amazon e IAM necessárias para criar pipelines que invocam funções do Lambda ou incluem etapas de retorno de chamada, que podem ser usadas para etapas de aprovação manual ou execução de cargas de trabalho personalizadas.
As permissões do Amazon SQS permitem que você crie a fila do Amazon SQS necessária para receber mensagens de retorno de chamada e também para enviar mensagens para essa fila.
As permissões do Lambda permitem criar, ler, atualizar e excluir as funções do Lambda usadas nas etapas do pipeline e também invocar essas funções do Lambda.
Essa política concede ao Amazon EMR as permissões necessárias para executar uma etapa do Amazon EMR de pipelines.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `elasticmapreduce`: lê, adiciona e cancela etapas em um cluster do Amazon EMR em execução. Leia, crie e encerre um novo cluster do Amazon EMR.
+ `events`— Leia, crie, atualize e adicione alvos a uma EventBridge regra chamada `SageMakerPipelineExecutionEMRStepStatusUpdateRule` `SageMakerPipelineExecutionEMRClusterStatusUpdateRule` e.
+ `iam`— Passe uma função do IAM para o serviço AWS Lambda, Amazon EMR e Amazon EC2.
+ `lambda`: cria, lê, atualiza, exclui e invoca funções do Lambda. Essas permissões são limitadas às funções cujo nome inclui “sagemaker”.
+ `sqs`: cria uma fila do Amazon SQS; envia uma mensagem do Amazon SQS. Essas permissões são limitadas às filas cujo nome inclui “sagemaker”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:GetFunction",
"lambda:InvokeFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:*:*:function:*sagemaker*",
"arn:aws:lambda:*:*:function:*sageMaker*",
"arn:aws:lambda:*:*:function:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"sqs:CreateQueue",
"sqs:SendMessage"
],
"Resource": [
"arn:aws:sqs:*:*:*sagemaker*",
"arn:aws:sqs:*:*:*sageMaker*",
"arn:aws:sqs:*:*:*SageMaker*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"lambda.amazonaws.com",
"elasticmapreduce.amazonaws.com",
"ec2.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRStepStatusUpdateRule",
"arn:aws:events:*:*:rule/SageMakerPipelineExecutionEMRClusterStatusUpdateRule"
]
},
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:AddJobFlowSteps",
"elasticmapreduce:CancelSteps",
"elasticmapreduce:DescribeStep",
"elasticmapreduce:RunJobFlow",
"elasticmapreduce:DescribeCluster",
"elasticmapreduce:TerminateJobFlows",
"elasticmapreduce:ListSteps"
],
"Resource": [
"arn:aws:elasticmapreduce:*:*:cluster/*"
]
}
]
}
```
------
## Amazon SageMaker AI atualiza as políticas gerenciadas do SageMaker AI Pipelines
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Atualização em uma política existente | 3 | Permissões adicionadas para `elasticmapreduce:RunJobFlows`, `elasticmapreduce:TerminateJobFlows`, `elasticmapreduce:ListSteps` e `elasticmapreduce:DescribeCluster`. | 17 de fevereiro de 2023 |
| [AmazonSageMakerPipelinesIntegrations](#security-iam-awsmanpol-AmazonSageMakerPipelinesIntegrations) - Atualização em uma política existente | 2 | Permissões adicionadas para `lambda:GetFunction`, `events:DescribeRule`, `events:PutRule`, `events:PutTargets`, `elasticmapreduce:AddJobFlowSteps`, `elasticmapreduce:CancelSteps` e `elasticmapreduce:DescribeStep`. | 20 de abril de 2022 |
| AmazonSageMakerPipelinesIntegrations - Nova política | 1 | Política inicial | 30 de julho de 2021 |
# AWS políticas gerenciadas para planos SageMaker de treinamento
Essa política AWS gerenciada concede as permissões necessárias para criar e gerenciar os planos de SageMaker treinamento e a capacidade reservada da Amazon em SageMaker IA. A política pode ser anexada às funções do IAM usadas para criar e gerenciar planos de treinamento e capacidade reservada dentro da SageMaker IA, incluindo sua [função de execução de SageMaker IA](sagemaker-roles.md).
**Topics**
+ [AWS política gerenciada: AmazonSageMakerTrainingPlanCreateAccess](#security-iam-awsmanpol-AmazonSageMakerTrainingPlanCreateAccess)
+ [Amazon SageMaker AI atualiza as políticas gerenciadas de planos de SageMaker treinamento](#security-iam-awsmanpol-training-plan-updates)
## AWS política gerenciada: AmazonSageMakerTrainingPlanCreateAccess
Essa política fornece as permissões necessárias para criar, descrever, pesquisar e listar planos de treinamento em SageMaker IA. Além disso, também permite adicionar tags aos planos de treinamento e recursos de capacidade reservada sob condições específicas.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sagemaker`: cria planos de treinamento e capacidade reservada, permite adicionar tags aos planos de treinamento e capacidade reservada quando a ação de marcação é especificamente `CreateTrainingPlan` ou `CreateReservedCapacity`, permite descrever planos de treinamento e permite pesquisar ofertas de planos de treinamento e listar os planos de treinamento existentes em todos os recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:CreateTrainingPlan",
"sagemaker:CreateReservedCapacity",
"sagemaker:DescribeReservedCapacity"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
},
{
"Sid": "AggTagsToTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:AddTags"
],
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*",
"arn:aws:sagemaker:*:*:reserved-capacity/*"
],
"Condition": {
"StringEquals": {
"sagemaker:TaggingAction": ["CreateTrainingPlan","CreateReservedCapacity"]
}
}
},
{
"Sid": "DescribeTrainingPlanPermissions",
"Effect": "Allow",
"Action": "sagemaker:DescribeTrainingPlan",
"Resource": [
"arn:aws:sagemaker:*:*:training-plan/*"
]
},
{
"Sid": "NonResourceLevelTrainingPlanPermissions",
"Effect": "Allow",
"Action": [
"sagemaker:SearchTrainingPlanOfferings",
"sagemaker:ListTrainingPlans"
],
"Resource": "*"
},
{
"Sid": "ListUltraServersByReservedCapacityPermissions",
"Effect": "Allow",
"Action": "sagemaker:ListUltraServersByReservedCapacity",
"Resource": [
"arn:aws:sagemaker:*:*:reserved-capacity/*"
]
}
]
}
```
------
## Amazon SageMaker AI atualiza as políticas gerenciadas de planos de SageMaker treinamento
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| AmazonSageMakerTrainingPlanCreateAccess - política atualizada | 2 | Política atualizada para adicionar permissões para recuperar informações sobre uma capacidade reservada específica e listar tudo UltraServers em uma capacidade reservada. | 29 de julho de 2024 |
| AmazonSageMakerTrainingPlanCreateAccess - Nova política | 1 | Política inicial | 4 de dezembro de 2024 |
# AWS Políticas gerenciadas para SageMaker projetos e JumpStart
Essas políticas AWS gerenciadas adicionam permissões para usar modelos e JumpStart soluções de projetos integrados da Amazon SageMaker AI. As políticas estão disponíveis em sua AWS conta e são usadas por funções de execução criadas no console de SageMaker IA.
SageMaker Projeta e JumpStart usa o AWS Service Catalog para provisionar AWS recursos nas contas dos clientes. Alguns recursos criados precisam assumir um perfil de execução. Por exemplo, se o AWS Service Catalog criar um CodePipeline pipeline em nome de um cliente para um CI/CD projeto de aprendizado de máquina de SageMaker IA, esse pipeline exigirá uma função do IAM.
A [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)função tem as permissões necessárias para lançar o portfólio de produtos de SageMaker IA do AWS Service Catalog. A [AmazonSageMakerServiceCatalogProductsUseRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsUseRole)função tem as permissões necessárias para usar o portfólio de produtos de SageMaker IA do AWS Service Catalog. A `AmazonSageMakerServiceCatalogProductsLaunchRole` função passa uma `AmazonSageMakerServiceCatalogProductsUseRole` função para os recursos de produto provisionados do AWS Service Catalog.
**Topics**
+ [AWS política gerenciada: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerServiceCatalogProductsEventsServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerServiceCatalogProductsGlueServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy)
+ [AWS política gerenciada: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Política](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy)
+ [Atualizações da Amazon SageMaker AI nas políticas AWS gerenciadas do AWS Service Catalog](#security-iam-awsmanpol-sc-updates)
## AWS política gerenciada: AmazonSageMakerAdmin - ServiceCatalogProductsServiceRolePolicy
Essa política de função de serviço é usada pelo AWS Service Catalog serviço para provisionar produtos do portfólio Amazon SageMaker AI. A política concede permissões a um conjunto de AWS serviços relacionados AWS CodePipeline, incluindo AWS CodeBuild, AWS CodeCommit, AWS CloudFormation, AWS Glue e outros.
A `AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy` política deve ser usada pela `AmazonSageMakerServiceCatalogProductsLaunchRole` função criada no console de SageMaker IA. A política adiciona permissões para provisionar AWS recursos para SageMaker projetos e JumpStart usar o Service Catalog na conta de um cliente.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `apigateway`: permite que o perfil chame os endpoints do API Gateway que estão com a tag `sagemaker:launch-source`.
+ `cloudformation`— Permite AWS Service Catalog criar, atualizar e excluir CloudFormation pilhas. Também permite que o Service Catalog adicione e remova tags de recursos.
+ `codebuild`— Permite que a função assumida AWS Service Catalog e passada CloudFormation para criar, atualizar e excluir CodeBuild projetos.
+ `codecommit`— Permite que a função assumida AWS Service Catalog e passada CloudFormation para criar, atualizar e excluir CodeCommit repositórios.
+ `codepipeline`— Permite que a função assumida AWS Service Catalog e passada CloudFormation seja criada, atualizada e excluída CodePipelines.
+ `codeconnections`, `codestar-connections` — Também permite que a função passe Conexões de código da AWS e AWS CodeStar as conexões.
+ `cognito-idp`: permite que o perfil crie, atualize e exclua grupos e grupos de usuários. Também permite marcar recursos com tag.
+ `ecr`— Permite que a função assumida AWS Service Catalog e transmitida crie e CloudFormation exclua repositórios do Amazon ECR. Também permite marcar recursos com tag.
+ `events`— Permite que a função assumida AWS Service Catalog e transmitida CloudFormation crie e exclua EventBridge regras. Usado para unir os vários componentes da tubulação CICD.
+ `firehose`: permite que a função interaja com fluxos do Firehose.
+ `glue`— Permite que a função interaja com AWS Glue.
+ `iam`: permite que o perfil passe as funções precedidas de `AmazonSageMakerServiceCatalog`. Isso é necessário quando o Projects provisiona um produto do AWS Service Catalog , pois um perfil precisa ser passado para AWS Service Catalog.
+ `lambda`: permite que o perfil interaja com AWS Lambda. Também permite marcar recursos com tag.
+ `logs`: permite que o perfil crie, exclua e acesse fluxos de log.
+ `s3`— Permite que a função assumida AWS Service Catalog e passada acesse CloudFormation os buckets do Amazon S3 onde o código do modelo do projeto está armazenado.
+ `sagemaker`— Permite que a função interaja com vários serviços de SageMaker IA. Isso é feito CloudFormation durante o provisionamento do modelo, bem como CodeBuild durante a execução do pipeline do CICD. Também permite marcar os seguintes recursos: endpoints, configurações de endpoints, modelos, pipelines, projetos e pacotes de modelos.
+ `states`: permite que o perfil crie, exclua e atualize o Step Functions precedido de `sagemaker`.
Para ver as permissões dessa política, consulte [AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy.html) na Referência de política AWS gerenciada.
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsApiGateway ServiceRolePolicy
Essa política é usada pelo Amazon API Gateway nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo API Gateway que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `lambda`: invoca uma função criada por um modelo de parceiro.
+ `sagemaker`: invoca um endpoint criado por um modelo de parceiro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:*:*:function:sagemaker-*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": "sagemaker:InvokeEndpoint",
"Resource": "arn:aws:sagemaker:*:*:endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsCloudFormation ServiceRolePolicy
Essa política é usada AWS CloudFormation dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por CloudFormation ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `iam`: passa os perfis `AmazonSageMakerServiceCatalogProductsLambdaRole` e `AmazonSageMakerServiceCatalogProductsApiGatewayRole`.
+ `lambda`— Crie, atualize, exclua e invoque AWS Lambda funções; recupere, publique e exclua versões de uma camada Lambda.
+ `apigateway`: cria, atualiza e exclui recursos do Amazon API Gateway.
+ `s3`: recupera o arquivo `lambda-auth-code/layer.zip` de um bucket do Amazon Simple Storage Service (Amazon S3).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsLambdaRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "lambda.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsApiGatewayRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": "apigateway.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction",
"lambda:UpdateFunctionCode",
"lambda:ListTags",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:TagResource"
],
"Resource": [
"arn:aws:lambda:*:*:function:sagemaker-*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"lambda:PublishLayerVersion",
"lambda:GetLayerVersion",
"lambda:DeleteLayerVersion",
"lambda:GetFunction"
],
"Resource": [
"arn:aws:lambda:*:*:layer:sagemaker-*",
"arn:aws:lambda:*:*:function:sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"apigateway:GET",
"apigateway:DELETE",
"apigateway:PATCH",
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/restapis"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"apigateway:POST",
"apigateway:PUT"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/tags/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:project-name": "false",
"aws:ResourceTag/sagemaker:partner": "false"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"sagemaker:project-name",
"sagemaker:partner"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::sagemaker-*/lambda-auth-code/layer.zip"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerPartnerServiceCatalogProductsLambdaService RolePolicy
Essa política é usada AWS Lambda dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo Lambda que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `secretsmanager`: recupera dados de segredos fornecidos pelo parceiro para um modelo de parceiro.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:*",
"Condition": {
"Null": {
"aws:ResourceTag/sagemaker:partner": false
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsApiGatewayService RolePolicy
Essa política é usada pelo Amazon API Gateway nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo API Gateway que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `logs`— Crie e leia grupos, fluxos e eventos de CloudWatch registros; atualize eventos; descreva vários recursos.
Essas permissões são limitadas aos recursos cujo prefixo do grupo de logs começa com “aws/apigateway/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/apigateway/*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCloudformationServiceRole Política
Essa política é usada AWS CloudFormation dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por CloudFormation ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sagemaker`— Permita o acesso a vários recursos de SageMaker IA, excluindo domínios, perfis de usuário, aplicativos e definições de fluxo.
+ `iam`: passa os perfis `AmazonSageMakerServiceCatalogProductsCodeBuildRole` e `AmazonSageMakerServiceCatalogProductsExecutionRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"NotResource": [
"arn:aws:sagemaker:*:*:domain/*",
"arn:aws:sagemaker:*:*:user-profile/*",
"arn:aws:sagemaker:*:*:app/*",
"arn:aws:sagemaker:*:*:flow-definition/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsCodeBuildRole",
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodeBuildService RolePolicy
Essa política é usada AWS CodeBuild dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por CodeBuild ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sagemaker`— Permita o acesso a vários recursos de SageMaker IA.
+ `codecommit`— Faça upload CodeCommit de arquivos para CodeBuild pipelines, obtenha o status do upload e cancele os uploads; obtenha as informações da filial e confirme. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”.
+ `ecr`: cria repositórios e imagens de contêineres do Amazon ECR; faz o upload de camadas de imagem. Essas permissões são limitadas aos repositórios cujo nome começa com “sagemaker-”.
`ecr`: lê todos os recursos.
+ `iam`: passa os seguintes perfis:
+ `AmazonSageMakerServiceCatalogProductsCloudformationRole`para AWS CloudFormation.
+ `AmazonSageMakerServiceCatalogProductsCodeBuildRole`para AWS CodeBuild.
+ `AmazonSageMakerServiceCatalogProductsCodePipelineRole`para AWS CodePipeline.
+ `AmazonSageMakerServiceCatalogProductsEventsRole`para a Amazon EventBridge.
+ `AmazonSageMakerServiceCatalogProductsExecutionRole`para a Amazon SageMaker AI.
+ `logs`— Crie e leia grupos, fluxos e eventos de CloudWatch registros; atualize eventos; descreva vários recursos.
Essas permissões são limitadas aos recursos cujo prefixo do nome começa com “aws/codebuild/”.
+ `s3`: cria, lê e lista os buckets do Amazon S3. Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-”.
+ `codeconnections`, `codestar-connections` — Uso Conexões de código da AWS e AWS CodeStar conexões.
Para ver as permissões dessa política, consulte [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy.html)na Referência de política AWS gerenciada.
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsCodePipelineService RolePolicy
Essa política é usada AWS CodePipeline dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por CodePipeline ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `cloudformation`— criar, ler, excluir e atualizar CloudFormation pilhas; criar, ler, excluir e executar conjuntos de alterações; definir políticas de pilha; marcar e desmarcar recursos. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”.
+ `s3`: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL); e lê a região da AWS em que o bucket reside.
Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.
+ `iam`: passa o perfil `AmazonSageMakerServiceCatalogProductsCloudformationRole`.
+ `codebuild`— Obtenha informações de CodeBuild construção e inicie as construções. Essas permissões são limitadas aos recursos do projeto e da compilação cujo nome começa com “sagemaker-”.
+ `codecommit`— Faça upload CodeCommit de arquivos para CodeBuild pipelines, obtenha o status do upload e cancele os uploads; obtenha as informações da filial e confirme.
+ `codeconnections`, `codestar-connections` — Uso Conexões de código da AWS e AWS CodeStar conexões.
Para ver as permissões dessa política, consulte [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy.html)na Referência de política AWS gerenciada.
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsEventsServiceRole Política
Essa política é usada pela Amazon EventBridge nos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados por EventBridge ela e que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `codepipeline`— Inicie uma CodeBuild execução. Essas permissões são limitadas aos pipelines cujo nome começa com “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "codepipeline:StartPipelineExecution",
"Resource": "arn:aws:codepipeline:*:*:sagemaker-*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsFirehoseServiceRole Política
Essa política é usada pelo Amazon Data Firehose nos produtos AWS Service Catalog provisionados do portfólio Amazon AI. SageMaker A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo Firehose que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `firehose`: envia registros do Firehose. Essas permissões são limitadas aos recursos cujo nome de fluxo de entrega começa com “sagemaker-”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/sagemaker-*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsGlueServiceRole Política
Essa política é usada pela AWS Glue nos produtos provisionados pelo AWS Service Catalog do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)transferida para os AWS recursos criados pelo Glue que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `glue`— Crie, leia e exclua partições, tabelas e versões de tabelas do AWS Glue. Essas permissões são limitadas aos recursos cujo nome começa com “sagemaker-”. Crie e leia bancos de dados AWS Glue. Essas permissões são limitadas a bancos de dados cujo nome é “default”, “global\$1temp” ou começa com “sagemaker-”. Obtenha as funções definidas pelo usuário.
+ `s3`: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL) e lê a região da AWS em que o bucket reside.
Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.
+ `logs`— Crie, leia e exclua grupos de CloudWatch registros, fluxos e entregas de registros de registros e crie uma política de recursos.
Essas permissões são limitadas aos recursos cujo prefixo do nome começa com “aws/glue/”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"glue:BatchCreatePartition",
"glue:BatchDeletePartition",
"glue:BatchDeleteTable",
"glue:BatchDeleteTableVersion",
"glue:BatchGetPartition",
"glue:CreateDatabase",
"glue:CreatePartition",
"glue:CreateTable",
"glue:DeletePartition",
"glue:DeleteTable",
"glue:DeleteTableVersion",
"glue:GetDatabase",
"glue:GetPartition",
"glue:GetPartitions",
"glue:GetTable",
"glue:GetTables",
"glue:GetTableVersion",
"glue:GetTableVersions",
"glue:SearchTables",
"glue:UpdatePartition",
"glue:UpdateTable",
"glue:GetUserDefinedFunctions"
],
"Resource": [
"arn:aws:glue:*:*:catalog",
"arn:aws:glue:*:*:database/default",
"arn:aws:glue:*:*:database/global_temp",
"arn:aws:glue:*:*:database/sagemaker-*",
"arn:aws:glue:*:*:table/sagemaker-*",
"arn:aws:glue:*:*:tableVersion/sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:Describe*",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/glue/*"
}
]
}
```
------
## AWS política gerenciada: AmazonSageMakerServiceCatalogProductsLambdaServiceRole Política
Essa política é usada AWS Lambda dentro dos produtos AWS Service Catalog provisionados do portfólio Amazon SageMaker AI. A política deve ser anexada a uma função do IAM que é passada [AmazonSageMakerServiceCatalogProductsLaunchRole](https://console.aws.amazon.com/iam/home?#/roles/AmazonSageMakerServiceCatalogProductsLaunchRole)para os AWS recursos criados pelo Lambda que exigem uma função.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `sagemaker`— Permita o acesso a vários recursos de SageMaker IA.
+ `ecr`: cria e exclui repositórios do Amazon ECR; cria, lê e exclui imagens de contêineres; faz upload de camadas de imagem. Essas permissões são limitadas aos repositórios cujo nome começa com “sagemaker-”.
+ `events`— Crie, leia e exclua as EventBridge regras da Amazon; e crie e remova alvos. Essas permissões são limitadas às regras cujo nome começa com “sagemaker-”.
+ `s3`: cria, lê, lista e exclui buckets do Amazon S3; adiciona, lê e exclui objetos dos buckets; lê e define a configuração do CORS; lê a lista de controle de acesso (ACL) e lê a região da AWS em que o bucket reside.
Essas permissões são limitadas aos buckets cujo nome começa com “sagemaker-” ou "aws-glue-.
+ `iam`: passa o perfil `AmazonSageMakerServiceCatalogProductsExecutionRole`.
+ `logs`— Crie, leia e exclua grupos de CloudWatch registros, fluxos e entregas de registros de registros e crie uma política de recursos.
Essas permissões são limitadas aos recursos cujo prefixo do nome começa com “aws/lambda/”.
+ `codebuild`— Comece e obtenha informações sobre AWS CodeBuild construções.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid" : "AmazonSageMakerLambdaECRPermission",
"Effect": "Allow",
"Action": [
"ecr:DescribeImages",
"ecr:BatchDeleteImage",
"ecr:CompleteLayerUpload",
"ecr:CreateRepository",
"ecr:DeleteRepository",
"ecr:InitiateLayerUpload",
"ecr:PutImage",
"ecr:UploadLayerPart"
],
"Resource": [
"arn:aws:ecr:*:*:repository/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaEventBridgePermission",
"Effect": "Allow",
"Action": [
"events:DeleteRule",
"events:DescribeRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets"
],
"Resource": [
"arn:aws:events:*:*:rule/sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3BucketPermission",
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:DeleteBucket",
"s3:GetBucketAcl",
"s3:GetBucketCors",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:PutBucketCors"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaS3ObjectPermission",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::aws-glue-*",
"arn:aws:s3:::sagemaker-*"
]
},
{
"Sid" : "AmazonSageMakerLambdaSageMakerPermission",
"Effect": "Allow",
"Action": [
"sagemaker:AddAssociation",
"sagemaker:AddTags",
"sagemaker:AssociateTrialComponent",
"sagemaker:BatchDescribeModelPackage",
"sagemaker:BatchGetMetrics",
"sagemaker:BatchGetRecord",
"sagemaker:BatchPutMetrics",
"sagemaker:CreateAction",
"sagemaker:CreateAlgorithm",
"sagemaker:CreateApp",
"sagemaker:CreateAppImageConfig",
"sagemaker:CreateArtifact",
"sagemaker:CreateAutoMLJob",
"sagemaker:CreateCodeRepository",
"sagemaker:CreateCompilationJob",
"sagemaker:CreateContext",
"sagemaker:CreateDataQualityJobDefinition",
"sagemaker:CreateDeviceFleet",
"sagemaker:CreateDomain",
"sagemaker:CreateEdgePackagingJob",
"sagemaker:CreateEndpoint",
"sagemaker:CreateEndpointConfig",
"sagemaker:CreateExperiment",
"sagemaker:CreateFeatureGroup",
"sagemaker:CreateFlowDefinition",
"sagemaker:CreateHumanTaskUi",
"sagemaker:CreateHyperParameterTuningJob",
"sagemaker:CreateImage",
"sagemaker:CreateImageVersion",
"sagemaker:CreateInferenceRecommendationsJob",
"sagemaker:CreateLabelingJob",
"sagemaker:CreateLineageGroupPolicy",
"sagemaker:CreateModel",
"sagemaker:CreateModelBiasJobDefinition",
"sagemaker:CreateModelExplainabilityJobDefinition",
"sagemaker:CreateModelPackage",
"sagemaker:CreateModelPackageGroup",
"sagemaker:CreateModelQualityJobDefinition",
"sagemaker:CreateMonitoringSchedule",
"sagemaker:CreateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:CreatePipeline",
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:CreateProcessingJob",
"sagemaker:CreateProject",
"sagemaker:CreateTrainingJob",
"sagemaker:CreateTransformJob",
"sagemaker:CreateTrial",
"sagemaker:CreateTrialComponent",
"sagemaker:CreateUserProfile",
"sagemaker:CreateWorkforce",
"sagemaker:CreateWorkteam",
"sagemaker:DeleteAction",
"sagemaker:DeleteAlgorithm",
"sagemaker:DeleteApp",
"sagemaker:DeleteAppImageConfig",
"sagemaker:DeleteArtifact",
"sagemaker:DeleteAssociation",
"sagemaker:DeleteCodeRepository",
"sagemaker:DeleteContext",
"sagemaker:DeleteDataQualityJobDefinition",
"sagemaker:DeleteDeviceFleet",
"sagemaker:DeleteDomain",
"sagemaker:DeleteEndpoint",
"sagemaker:DeleteEndpointConfig",
"sagemaker:DeleteExperiment",
"sagemaker:DeleteFeatureGroup",
"sagemaker:DeleteFlowDefinition",
"sagemaker:DeleteHumanLoop",
"sagemaker:DeleteHumanTaskUi",
"sagemaker:DeleteImage",
"sagemaker:DeleteImageVersion",
"sagemaker:DeleteLineageGroupPolicy",
"sagemaker:DeleteModel",
"sagemaker:DeleteModelBiasJobDefinition",
"sagemaker:DeleteModelExplainabilityJobDefinition",
"sagemaker:DeleteModelPackage",
"sagemaker:DeleteModelPackageGroup",
"sagemaker:DeleteModelPackageGroupPolicy",
"sagemaker:DeleteModelQualityJobDefinition",
"sagemaker:DeleteMonitoringSchedule",
"sagemaker:DeleteNotebookInstance",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:DeletePipeline",
"sagemaker:DeleteProject",
"sagemaker:DeleteRecord",
"sagemaker:DeleteTags",
"sagemaker:DeleteTrial",
"sagemaker:DeleteTrialComponent",
"sagemaker:DeleteUserProfile",
"sagemaker:DeleteWorkforce",
"sagemaker:DeleteWorkteam",
"sagemaker:DeregisterDevices",
"sagemaker:DescribeAction",
"sagemaker:DescribeAlgorithm",
"sagemaker:DescribeApp",
"sagemaker:DescribeAppImageConfig",
"sagemaker:DescribeArtifact",
"sagemaker:DescribeAutoMLJob",
"sagemaker:DescribeCodeRepository",
"sagemaker:DescribeCompilationJob",
"sagemaker:DescribeContext",
"sagemaker:DescribeDataQualityJobDefinition",
"sagemaker:DescribeDevice",
"sagemaker:DescribeDeviceFleet",
"sagemaker:DescribeDomain",
"sagemaker:DescribeEdgePackagingJob",
"sagemaker:DescribeEndpoint",
"sagemaker:DescribeEndpointConfig",
"sagemaker:DescribeExperiment",
"sagemaker:DescribeFeatureGroup",
"sagemaker:DescribeFlowDefinition",
"sagemaker:DescribeHumanLoop",
"sagemaker:DescribeHumanTaskUi",
"sagemaker:DescribeHyperParameterTuningJob",
"sagemaker:DescribeImage",
"sagemaker:DescribeImageVersion",
"sagemaker:DescribeInferenceRecommendationsJob",
"sagemaker:DescribeLabelingJob",
"sagemaker:DescribeLineageGroup",
"sagemaker:DescribeModel",
"sagemaker:DescribeModelBiasJobDefinition",
"sagemaker:DescribeModelExplainabilityJobDefinition",
"sagemaker:DescribeModelPackage",
"sagemaker:DescribeModelPackageGroup",
"sagemaker:DescribeModelQualityJobDefinition",
"sagemaker:DescribeMonitoringSchedule",
"sagemaker:DescribeNotebookInstance",
"sagemaker:DescribeNotebookInstanceLifecycleConfig",
"sagemaker:DescribePipeline",
"sagemaker:DescribePipelineDefinitionForExecution",
"sagemaker:DescribePipelineExecution",
"sagemaker:DescribeProcessingJob",
"sagemaker:DescribeProject",
"sagemaker:DescribeSubscribedWorkteam",
"sagemaker:DescribeTrainingJob",
"sagemaker:DescribeTransformJob",
"sagemaker:DescribeTrial",
"sagemaker:DescribeTrialComponent",
"sagemaker:DescribeUserProfile",
"sagemaker:DescribeWorkforce",
"sagemaker:DescribeWorkteam",
"sagemaker:DisableSagemakerServicecatalogPortfolio",
"sagemaker:DisassociateTrialComponent",
"sagemaker:EnableSagemakerServicecatalogPortfolio",
"sagemaker:GetDeviceFleetReport",
"sagemaker:GetDeviceRegistration",
"sagemaker:GetLineageGroupPolicy",
"sagemaker:GetModelPackageGroupPolicy",
"sagemaker:GetRecord",
"sagemaker:GetSagemakerServicecatalogPortfolioStatus",
"sagemaker:GetSearchSuggestions",
"sagemaker:InvokeEndpoint",
"sagemaker:InvokeEndpointAsync",
"sagemaker:ListActions",
"sagemaker:ListAlgorithms",
"sagemaker:ListAppImageConfigs",
"sagemaker:ListApps",
"sagemaker:ListArtifacts",
"sagemaker:ListAssociations",
"sagemaker:ListAutoMLJobs",
"sagemaker:ListCandidatesForAutoMLJob",
"sagemaker:ListCodeRepositories",
"sagemaker:ListCompilationJobs",
"sagemaker:ListContexts",
"sagemaker:ListDataQualityJobDefinitions",
"sagemaker:ListDeviceFleets",
"sagemaker:ListDevices",
"sagemaker:ListDomains",
"sagemaker:ListEdgePackagingJobs",
"sagemaker:ListEndpointConfigs",
"sagemaker:ListEndpoints",
"sagemaker:ListExperiments",
"sagemaker:ListFeatureGroups",
"sagemaker:ListFlowDefinitions",
"sagemaker:ListHumanLoops",
"sagemaker:ListHumanTaskUis",
"sagemaker:ListHyperParameterTuningJobs",
"sagemaker:ListImageVersions",
"sagemaker:ListImages",
"sagemaker:ListInferenceRecommendationsJobs",
"sagemaker:ListLabelingJobs",
"sagemaker:ListLabelingJobsForWorkteam",
"sagemaker:ListLineageGroups",
"sagemaker:ListModelBiasJobDefinitions",
"sagemaker:ListModelExplainabilityJobDefinitions",
"sagemaker:ListModelMetadata",
"sagemaker:ListModelPackageGroups",
"sagemaker:ListModelPackages",
"sagemaker:ListModelQualityJobDefinitions",
"sagemaker:ListModels",
"sagemaker:ListMonitoringExecutions",
"sagemaker:ListMonitoringSchedules",
"sagemaker:ListNotebookInstanceLifecycleConfigs",
"sagemaker:ListNotebookInstances",
"sagemaker:ListPipelineExecutionSteps",
"sagemaker:ListPipelineExecutions",
"sagemaker:ListPipelineParametersForExecution",
"sagemaker:ListPipelines",
"sagemaker:ListProcessingJobs",
"sagemaker:ListProjects",
"sagemaker:ListSubscribedWorkteams",
"sagemaker:ListTags",
"sagemaker:ListTrainingJobs",
"sagemaker:ListTrainingJobsForHyperParameterTuningJob",
"sagemaker:ListTransformJobs",
"sagemaker:ListTrialComponents",
"sagemaker:ListTrials",
"sagemaker:ListUserProfiles",
"sagemaker:ListWorkforces",
"sagemaker:ListWorkteams",
"sagemaker:PutLineageGroupPolicy",
"sagemaker:PutModelPackageGroupPolicy",
"sagemaker:PutRecord",
"sagemaker:QueryLineage",
"sagemaker:RegisterDevices",
"sagemaker:RenderUiTemplate",
"sagemaker:Search",
"sagemaker:SendHeartbeat",
"sagemaker:SendPipelineExecutionStepFailure",
"sagemaker:SendPipelineExecutionStepSuccess",
"sagemaker:StartHumanLoop",
"sagemaker:StartMonitoringSchedule",
"sagemaker:StartNotebookInstance",
"sagemaker:StartPipelineExecution",
"sagemaker:StopAutoMLJob",
"sagemaker:StopCompilationJob",
"sagemaker:StopEdgePackagingJob",
"sagemaker:StopHumanLoop",
"sagemaker:StopHyperParameterTuningJob",
"sagemaker:StopInferenceRecommendationsJob",
"sagemaker:StopLabelingJob",
"sagemaker:StopMonitoringSchedule",
"sagemaker:StopNotebookInstance",
"sagemaker:StopPipelineExecution",
"sagemaker:StopProcessingJob",
"sagemaker:StopTrainingJob",
"sagemaker:StopTransformJob",
"sagemaker:UpdateAction",
"sagemaker:UpdateAppImageConfig",
"sagemaker:UpdateArtifact",
"sagemaker:UpdateCodeRepository",
"sagemaker:UpdateContext",
"sagemaker:UpdateDeviceFleet",
"sagemaker:UpdateDevices",
"sagemaker:UpdateDomain",
"sagemaker:UpdateEndpoint",
"sagemaker:UpdateEndpointWeightsAndCapacities",
"sagemaker:UpdateExperiment",
"sagemaker:UpdateImage",
"sagemaker:UpdateModelPackage",
"sagemaker:UpdateMonitoringSchedule",
"sagemaker:UpdateNotebookInstance",
"sagemaker:UpdateNotebookInstanceLifecycleConfig",
"sagemaker:UpdatePipeline",
"sagemaker:UpdatePipelineExecution",
"sagemaker:UpdateProject",
"sagemaker:UpdateTrainingJob",
"sagemaker:UpdateTrial",
"sagemaker:UpdateTrialComponent",
"sagemaker:UpdateUserProfile",
"sagemaker:UpdateWorkforce",
"sagemaker:UpdateWorkteam"
],
"Resource": [
"arn:aws:sagemaker:*:*:action/*",
"arn:aws:sagemaker:*:*:algorithm/*",
"arn:aws:sagemaker:*:*:app-image-config/*",
"arn:aws:sagemaker:*:*:artifact/*",
"arn:aws:sagemaker:*:*:automl-job/*",
"arn:aws:sagemaker:*:*:code-repository/*",
"arn:aws:sagemaker:*:*:compilation-job/*",
"arn:aws:sagemaker:*:*:context/*",
"arn:aws:sagemaker:*:*:data-quality-job-definition/*",
"arn:aws:sagemaker:*:*:device-fleet/*/device/*",
"arn:aws:sagemaker:*:*:device-fleet/*",
"arn:aws:sagemaker:*:*:edge-packaging-job/*",
"arn:aws:sagemaker:*:*:endpoint/*",
"arn:aws:sagemaker:*:*:endpoint-config/*",
"arn:aws:sagemaker:*:*:experiment/*",
"arn:aws:sagemaker:*:*:experiment-trial/*",
"arn:aws:sagemaker:*:*:experiment-trial-component/*",
"arn:aws:sagemaker:*:*:feature-group/*",
"arn:aws:sagemaker:*:*:human-loop/*",
"arn:aws:sagemaker:*:*:human-task-ui/*",
"arn:aws:sagemaker:*:*:hyper-parameter-tuning-job/*",
"arn:aws:sagemaker:*:*:image/*",
"arn:aws:sagemaker:*:*:image-version/*/*",
"arn:aws:sagemaker:*:*:inference-recommendations-job/*",
"arn:aws:sagemaker:*:*:labeling-job/*",
"arn:aws:sagemaker:*:*:model/*",
"arn:aws:sagemaker:*:*:model-bias-job-definition/*",
"arn:aws:sagemaker:*:*:model-explainability-job-definition/*",
"arn:aws:sagemaker:*:*:model-package/*",
"arn:aws:sagemaker:*:*:model-package-group/*",
"arn:aws:sagemaker:*:*:model-quality-job-definition/*",
"arn:aws:sagemaker:*:*:monitoring-schedule/*",
"arn:aws:sagemaker:*:*:notebook-instance/*",
"arn:aws:sagemaker:*:*:notebook-instance-lifecycle-config/*",
"arn:aws:sagemaker:*:*:pipeline/*",
"arn:aws:sagemaker:*:*:pipeline/*/execution/*",
"arn:aws:sagemaker:*:*:processing-job/*",
"arn:aws:sagemaker:*:*:project/*",
"arn:aws:sagemaker:*:*:training-job/*",
"arn:aws:sagemaker:*:*:transform-job/*",
"arn:aws:sagemaker:*:*:workforce/*",
"arn:aws:sagemaker:*:*:workteam/*"
]
},
{
"Sid" : "AmazonSageMakerLambdaPassRolePermission",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/service-role/AmazonSageMakerServiceCatalogProductsExecutionRole"
]
},
{
"Sid" : "AmazonSageMakerLambdaLogPermission",
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DeleteLogDelivery",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:DescribeResourcePolicies",
"logs:DescribeDestinations",
"logs:DescribeExportTasks",
"logs:DescribeMetricFilters",
"logs:DescribeQueries",
"logs:DescribeQueryDefinitions",
"logs:DescribeSubscriptionFilters",
"logs:GetLogDelivery",
"logs:GetLogEvents",
"logs:ListLogDeliveries",
"logs:PutLogEvents",
"logs:PutResourcePolicy",
"logs:UpdateLogDelivery"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/*"
},
{
"Sid" : "AmazonSageMakerLambdaCodeBuildPermission",
"Effect": "Allow",
"Action": [
"codebuild:StartBuild",
"codebuild:BatchGetBuilds"
],
"Resource": "arn:aws:codebuild:*:*:project/sagemaker-*",
"Condition": {
"StringLike": {
"aws:ResourceTag/sagemaker:project-name": "*"
}
}
}
]
}
```
------
## Atualizações da Amazon SageMaker AI nas políticas AWS gerenciadas do AWS Service Catalog
Veja detalhes sobre as atualizações das políticas AWS gerenciadas da Amazon SageMaker AI desde que esse serviço começou a monitorar essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): política atualizada | 10 | Atualizado `codestar-connections:PassConnection` e com `codeconnections:PassConnection` permissões. | 27 de setembro de 2025 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): Atualizar política | 3 | Atualizado `codestar-connections:UseConnection` e com `codeconnections:UseConnection` permissões. | 27 de setembro de 2025 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): Atualizar política | 3 | Atualizado `codestar-connections:UseConnection` e com `codeconnections:UseConnection` permissões. | 27 de setembro de 2025 |
| [AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy): Atualizar política | 9 | Adicione permissões `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 1º de julho de 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 7 | Reverta a política para a versão 7 (v7). Remova as permissões `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 12 de junho de 2024 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 8 | Adicione permissões `cloudformation:TagResource`, `cloudformation:UntagResource` e `codeconnections:PassConnection`. | 11 de junho de 2024 |
| [AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy): política atualizada | 2 | Adicione permissões `codestar-connections:UseConnection` e `codeconnections:UseConnection`. | 11 de junho de 2024 |
| [AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy): política atualizada | 2 | Adicione as permissões `cloudformation:TagResource`, `cloudformation:UntagResource`, `codestar-connections:UseConnection` e `codeconnections:UseConnection`. | 11 de junho de 2024 |
| [AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolicy): política atualizada | 2 | Adicione permissões `codebuild:StartBuild` e `codebuild:BatchGetBuilds`. | 11 de junho de 2024 |
| [AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Política inicial | 1º de agosto de 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsCloudFormationServiceRolePolicy) | 1 | Política inicial | 1º de agosto de 2023 |
| [AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerPartnerServiceCatalogProductsLambdaServiceRolePolicy) | 1 | Política inicial | 1º de agosto de 2023 |
| [AmazonSageMakerServiceCatalogProductsGlueServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsGlueServiceRolePolicy): política atualizada | 2 | Adicione permissão para `glue:GetUserDefinedFunctions`. | 26 de agosto de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 7 | Adicione permissão para `sagemaker:AddTags`. | 2 de agosto de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 6 | Adicione permissão para `lambda:TagResource`. | 14 de julho de 2022 |
| AmazonSageMakerServiceCatalogProductsLambdaServiceRolePolítica | 1 | Política inicial | 4 de abril de 2022 |
| [AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsApiGatewayServiceRolePolicy) | 1 | Política inicial | 24 de março de 2022 |
| [AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsCloudformationServiceRolePolicy) | 1 | Política inicial | 24 de março de 2022 |
| AmazonSageMakerServiceCatalogProductsCodeBuildServiceRolePolicy | 1 | Política inicial | 24 de março de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 5 | Adicione permissão para `ecr-idp:TagResource`. | 21 de março de 2022 |
| AmazonSageMakerServiceCatalogProductsCodePipelineServiceRolePolicy | 1 | Política inicial | 22 de fevereiro de 2022 |
| [AmazonSageMakerServiceCatalogProductsEventsServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsEventsServiceRolePolicy) | 1 | Política inicial | 22 de fevereiro de 2022 |
| [AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolítica](#security-iam-awsmanpol-AmazonSageMakerServiceCatalogProductsFirehoseServiceRolePolicy) | 1 | Política inicial | 22 de fevereiro de 2022 |
| AmazonSageMakerServiceCatalogProductsGlueServiceRolePolítica | 1 | Política inicial | 22 de fevereiro de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 4 | Adicione permissões para `cognito-idp:TagResource` e `s3:PutBucketCORS`. | 16 de fevereiro de 2022 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 3 | Adicione novas permissões para `sagemaker`. Crie, leia, atualize e exclua SageMaker imagens. | 15 de setembro de 2021 |
| AmazonSageMakerAdmin- ServiceCatalogProductsServiceRolePolicy - Política atualizada | 2 | Adicione permissões para `sagemaker` e `codestar-connections`. Crie, leia, atualize e exclua repositórios de código. Passe AWS CodeStar as conexões para AWS CodePipeline. | 1.º de julho de 2021 |
| AmazonSageMakerAdmin-ServiceCatalogProductsServiceRolePolicy | 1 | Política inicial | 27 de novembro de 2020 |
## SageMaker Atualizações de IA para políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas para SageMaker IA desde que esse serviço começou a rastrear essas mudanças.
| Política | Versão | Alteração | Data |
| --- | --- | --- | --- |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Atualização em uma política existente | 27 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/security-iam-awsmanpol.html) | 4 de dezembro de 2024 |
| [AmazonSageMakerFullAccess](#security-iam-awsmanpol-AmazonSageMakerFullAccess) - Atualização em uma política existente | 26 | Adicione a permissão `sagemaker:AddTags`. | 29 de março de 2024 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 25 | Adicione as permissões `sagemaker:CreateApp`, `sagemaker:DescribeApp`, `sagemaker:DeleteApp`, `sagemaker:CreateSpace`, `sagemaker:UpdateSpace`, `sagemaker:DeleteSpace`, `s3express:CreateSession`, `s3express:CreateBucket` e `s3express:ListAllMyDirectoryBuckets` . | 30 de novembro de 2023 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 24 | Adicione permissões `sagemaker-geospatial:*`, `sagemaker:AddTags`, `sagemaker-ListTags`, `sagemaker-DescribeSpace` e `sagemaker:ListSpaces`. | 30 de novembro de 2022 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 23 | Adicionar `glue:UpdateTable`. | 29 de junho de 2022 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 22 | Adicionar `cloudformation:ListStackResources`. | 1.º de maio de 2022 |
| [AmazonSageMakerReadOnly](#security-iam-awsmanpol-AmazonSageMakerReadOnly) - Atualização em uma política existente | 11 | Adicione permissões `sagemaker:QueryLineage`, `sagemaker:GetLineageGroupPolicy`, `sagemaker:BatchDescribeModelPackage`, `sagemaker:GetModelPackageGroupPolicy`. | 1º de dezembro de 2021 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 21 | Adicione `sns:Publish` permissões para endpoints com a inferência assíncrona ativada. | 8 de setembro de 2021 |
| AmazonSageMakerFullAccess - Atualização de uma política existente | 20 | Atualize recursos e permissões de `iam:PassRole`. | 15 de julho de 2021 |
| AmazonSageMakerReadOnly - Atualização de uma política existente | 10 | Nova API `BatchGetRecord` adicionada à SageMaker AI Feature Store. | 10 de junho de 2021 |
| | | SageMaker A IA começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 1º de junho de 2021 |
# Solução de problemas de identidade e acesso ao Amazon SageMaker AI
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com SageMaker IA e IAM.
**Topics**
+ [Não estou autorizado a realizar uma ação na SageMaker IA](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a executar `iam:PassRole`](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus recursos de SageMaker IA](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação na SageMaker IA
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.
O exemplo de erro a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um trabalho de treinamento, mas não tem as permissões `sagemaker:sagemaker:DescribeTrainingJob`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not
authorized to perform: sagemaker:DescribeTrainingJob on resource: my-example-widget
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir a ele o acesso ao recurso `TrainingJob` usando a ação `sagemaker:DescribeTrainingJob`.
## Não estou autorizado a executar `iam:PassRole`
Se você receber um erro informando que não está autorizado a realizar a `iam:PassRole` ação, suas políticas devem ser atualizadas para permitir que você passe uma função para a SageMaker IA.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para realizar uma ação no SageMaker AI. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas fora da minha AWS conta acessem meus recursos de SageMaker IA
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se a SageMaker IA é compatível com esses recursos, consulte[Como a Amazon SageMaker AI funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Registro em log e monitoramento
Você pode monitorar a Amazon SageMaker AI usando a Amazon CloudWatch, que coleta dados brutos e os processa em métricas legíveis, quase em tempo real. Essas estatísticas são mantidas por 15 meses, de maneira que você possa acessar informações históricas e ter uma perspectiva melhor de como a aplicação web ou o serviço está se saindo. Você também pode definir alarmes que observam determinados limites e enviam notificações ou realizam ações quando esses limites são atingidos. Para obter mais informações, consulte [Métricas de SageMaker IA da Amazon na Amazon CloudWatch](monitoring-cloudwatch.md).
O Amazon CloudWatch Logs permite que você monitore, armazene e acesse seus arquivos de log a partir de instâncias do Amazon EC2 e de outras fontes. AWS CloudTrail Você pode coletar e monitorar métricas, criar painéis personalizados e definir alarmes que o notificam ou tomam medidas quando uma métrica específica atinge um limite especificado por você. CloudWatch Os registros podem monitorar as informações nos arquivos de log e notificá-lo quando determinados limites forem atingidos. É possível também arquivar seus dados de log em armazenamento resiliente. Para obter mais informações, consulte [CloudWatch Registros para Amazon SageMaker AI](logging-cloudwatch.md).
AWS CloudTrail fornece um registro das ações realizadas por um usuário, função ou AWS serviço na SageMaker IA. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita à SageMaker AI, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. Para obter mais informações, [Registrando chamadas da API Amazon SageMaker AI usando AWS CloudTrail](logging-using-cloudtrail.md).
GuardDutyA [Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) é um serviço de detecção de ameaças que monitora e analisa continuamente seus registros CloudTrail de gerenciamento e eventos para identificar possíveis problemas de segurança. Quando você ativa GuardDuty uma AWS conta, ela começa automaticamente a analisar CloudTrail os registros para detectar atividades suspeitas na SageMaker APIs. Por exemplo, GuardDuty detectará atividades suspeitas quando um usuário cria anormalmente uma nova instância de notebook pré-assinada ou em branco que pode ser usada posteriormente para ações maliciosas. GuardDutyA detecção exclusiva de exfiltração de credenciais da pode ajudar um cliente a identificar que AWS as credenciais associadas à instância do Amazon EC2 foram exfiltradas e usadas para ligar de outra conta. SageMaker APIs AWS
Você pode criar regras no Amazon CloudWatch Events para reagir às mudanças de status em um SageMaker treinamento, ajuste de hiperparâmetros ou trabalho de transformação em lote. Para obter mais informações, consulte [Eventos que a Amazon SageMaker AI envia para a Amazon EventBridge](automating-sagemaker-with-eventbridge.md).
**nota**
CloudTrail não monitora chamadas para [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html).
# Validação de conformidade para Amazon SageMaker AI
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência na Amazon AI SageMaker
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre AWS regiões e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
Além da infraestrutura AWS global, a Amazon SageMaker AI oferece vários recursos para ajudar a suportar suas necessidades de resiliência e backup de dados.
# Segurança de infraestrutura na Amazon SageMaker AI
Como um serviço gerenciado, o Amazon SageMaker AI é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar a Amazon SageMaker AI pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
**Topics**
+ [SageMaker A IA examina contêineres AWS Marketplace de treinamento e inferência em busca de vulnerabilidades de segurança](#mkt-container-scan)
+ [Conecte-se aos recursos de SageMaker IA da Amazon de dentro de uma VPC](infrastructure-connect-to-resources.md)
+ [Executar contêineres de treinamento e inferência no modo sem Internet](mkt-algo-model-internet-free.md)
+ [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
+ [Dê acesso à SageMaker IA aos recursos em sua Amazon VPC](infrastructure-give-access.md)
## SageMaker A IA examina contêineres AWS Marketplace de treinamento e inferência em busca de vulnerabilidades de segurança
Para atender aos nossos requisitos de segurança, todas as [ SageMaker imagens pré-criadas](https://docs.aws.amazon.com/sagemaker/latest/dg-ecr-paths/sagemaker-algo-docker-registry-paths.html), incluindo os Contêineres de AWS Deep Learning, os contêineres da estrutura de aprendizado de máquina de SageMaker IA e os contêineres de algoritmos integrados de SageMaker IA, além dos pacotes de algoritmos e modelos listados em, AWS Marketplace são verificados em busca de Vulnerabilidades e Exposições Comuns (CVE). A CVE é uma lista de informações conhecidas publicamente sobre vulnerabilidade e exposição de segurança. O National Vulnerability Database (NVD) fornece detalhes sobre CVEs, como gravidade, avaliação de impacto e correção de informações. Tanto a CVE quanto o NVD estão disponíveis para consumo público e gratuitos para uso de ferramentas e serviços de segurança. Para obter mais informações, consulte [Perguntas frequentes do CVE (FAQs)](https://www.cve.org/ResourcesSupport/FAQs).
# Conecte-se aos recursos de SageMaker IA da Amazon de dentro de uma VPC
**Importante**
As informações a seguir se aplicam tanto ao Amazon SageMaker Studio quanto ao Amazon SageMaker Studio Classic. Os mesmos conceitos de conexão com recursos em uma VPC se aplicam tanto ao Studio quanto ao Studio Classic.
As instâncias do Amazon SageMaker Studio e do notebook SageMaker AI permitem acesso direto à Internet por padrão. SageMaker A IA permite que você baixe pacotes e notebooks populares, personalize seu ambiente de desenvolvimento e trabalhe com eficiência. No entanto, isso pode abrir brecha para o acesso não autorizado aos seus dados. Por exemplo, se você instalar um código malicioso em seu computador, na forma de um caderno disponível publicamente ou biblioteca de código-fonte, ele poderá acessar seus dados. Você pode restringir qual tráfego pode acessar a Internet iniciando suas instâncias de notebook Studio e SageMaker AI em uma [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
Uma Amazon Virtual Private Cloud é uma rede virtual dedicada à sua AWS conta. Com uma VPC da Amazon, você pode controlar o acesso à rede e a conectividade com a internet do Studio e suas instâncias de caderno. Você pode desabilitar o acesso direto à internet para adicionar uma camada adicional de segurança.
Os tópicos a seguir descrevem como conectar suas instâncias do Studio e instâncias do caderno aos recursos em uma VPC.
**Topics**
+ [Conecte o Amazon SageMaker Studio em uma VPC a recursos externos](studio-updated-and-internet-access.md)
+ [Conectar os cadernos do Studio em uma VPC para recursos externos](studio-notebooks-and-internet-access.md)
+ [Conectar uma instância de caderno em uma VPC aos recursos externos](appendix-notebook-and-internet-access.md)
# Conecte o Amazon SageMaker Studio em uma VPC a recursos externos
**Importante**
Em 30 de novembro de 2023, a experiência anterior do Amazon SageMaker Studio agora se chama Amazon SageMaker Studio Classic. A seção a seguir é específica ao uso da experiência atualizada do Studio. Para obter informações sobre como usar a aplicação do Studio Classic, consulte [Amazon SageMaker Studio Clássico](studio.md).
O tópico a seguir fornece informações sobre como conectar o Amazon SageMaker Studio em uma VPC a recursos externos.
**Topics**
+ [Comunicação padrão com a internet](#studio-notebooks-and-internet-access-default-setting)
+ [Comunicação da `VPC only` com a internet](#studio-notebooks-and-internet-access-vpc-only)
## Comunicação padrão com a internet
Por padrão, o Amazon SageMaker Studio fornece uma interface de rede que permite a comunicação com a Internet por meio de uma VPC gerenciada pela SageMaker IA. O tráfego para AWS serviços como o Amazon S3 CloudWatch passa por um gateway de internet, assim como o tráfego que acessa a API de IA e SageMaker o tempo de SageMaker execução da IA. O tráfego entre o domínio e seu volume do Amazon EFS passa pela VPC que você especificou quando se integrou ao domínio ou chamou a API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)
## Comunicação da `VPC only` com a internet
Para impedir que a SageMaker IA forneça acesso à Internet ao Studio, você pode desativar o acesso à Internet especificando o tipo de acesso à `VPC only` rede ao se [integrar ao Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou chamar a [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Como resultado, você não poderá executar o Studio, a menos que sua VPC tenha um endpoint de interface para a SageMaker API e o tempo de execução, ou um gateway NAT com acesso à Internet, e seus grupos de segurança permitam conexões de saída.
**nota**
O tipo de acesso à rede pode ser alterado após a criação do domínio usando o parâmetro `--app-network-access-type` do comando [update-domain](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sagemaker/update-domain.html).
### Requisitos para usar o modo `VPC only`
Quando você escolher `VpcOnly`, siga estas etapas:
1. Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo `VpcOnly`.
1. Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso estimado do endereço IP não exceda a capacidade compatível com o número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade do endereço IP. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-sizing-ipv4) para. IPv4
**nota**
Você pode configurar somente sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
1.
**Atenção**
Ao usar o modo `VpcOnly`, você possui parcialmente a configuração de rede do domínio. Recomendamos a melhor prática de segurança de aplicar permissões de privilégio mínimo ao acesso de entrada e saída que as regras do grupo de segurança fornecem. Configurações de regras de entrada excessivamente permissivas podem permitir que usuários com acesso à VPC interajam com as aplicações de outros perfis de usuário sem autenticação.
Configure um ou mais grupos de segurança com regras de entrada e saída que permitam o seguinte tráfego:
+ [Tráfego NFS via TCP na porta 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre o domínio e o volume do Amazon EFS.
+ [Tráfego TCP dentro do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Isso é necessário para a conectividade entre a aplicação Jupyter Server e as aplicações Kernel Gateway. Você deve permitir o acesso pelo menos às portas no intervalo `8192-65535`.
Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança no nível de domínio permitir acesso de entrada a si mesmo, todas as aplicações no domínio terão acesso a todas as outras aplicações no domínio.
1. Se você quiser permitir o acesso à Internet, deverá usar um [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) com acesso à Internet, por exemplo, por meio de um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Se você não quiser permitir o acesso à Internet, [crie uma interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) (AWS PrivateLink) para permitir que o Studio acesse os seguintes serviços com os nomes de serviço correspondentes. Você também deve associar os grupos de segurança da sua VPC a esses endpoints.
+ SageMaker API:`com.amazonaws.region.sagemaker.api`.
+ SageMaker Tempo de execução da IA:`com.amazonaws.region.sagemaker.runtime`. Isso é necessário para executar invocações de endpoint.
+ Amazon S3: `com.amazonaws.region.s3`.
+ SageMaker Projetos:`com.amazonaws.region.servicecatalog`.
+ SageMaker Estúdio:`aws.sagemaker.region.studio`.
+ Quaisquer outros AWS serviços de que você precise.
Se você usa o [SDK do SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para executar trabalhos de treinamento remoto, também deve criar os seguintes endpoints da Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:`com.amazonaws.region.logs`. Isso é necessário para permitir que o SageMaker Python SDK obtenha o status do trabalho de treinamento remoto de. Amazon CloudWatch
1. Se estiver usando o domínio no modo `VpcOnly` de uma rede on-premises, estabeleça conectividade privada a partir da rede do host que executa o Studio no navegador e na VPC da Amazon de destino. Isso é necessário porque a interface do usuário do Studio invoca AWS endpoints usando chamadas de API com credenciais temporárias. AWS Essas credenciais temporárias estão associadas ao perfil de execução do usuário conectado. Se o domínio estiver configurado no `VpcOnly` modo em uma rede local, a função de execução poderá definir condições de política do IAM que imponham a execução de chamadas de API de AWS serviço somente por meio dos endpoints Amazon VPC configurados. Isso faz com que as chamadas de API executadas a partir da interface do usuário do Studio falhem. Recomendamos resolver isso usando uma conexão do [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) ou do [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html).
**nota**
Para um cliente que trabalha no modo VPC, os firewalls da empresa podem causar problemas de conexão com o Studio ou as aplicações. Faça as seguintes verificações se você encontrar um desses problemas ao usar o Studio por trás de um firewall:
Verifique se o URL do Studio e URLs de todos os seus aplicativos estão na lista de permissões da sua rede. Por exemplo:
```
*.studio.region.sagemaker.aws
*.console.aws.a2z.com
```
Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa websockets.
**Para saber mais**
+ [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
+ [VPC com sub-redes públicas e privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Conectar os cadernos do Studio em uma VPC para recursos externos
O tópico a seguir fornece informações sobre como conectar os cadernos do Studio em uma VPC para recursos externos.
## Comunicação padrão com a internet
Por padrão, o SageMaker Studio fornece uma interface de rede que permite a comunicação com a Internet por meio de uma VPC gerenciada pela SageMaker IA. O tráfego para AWS serviços, como Amazon S3 e CloudWatch, passa por um gateway de internet. O tráfego que acessa a SageMaker API e o tempo de execução da SageMaker IA também passa por um gateway de internet. O tráfego entre o domínio e o volume do Amazon EFS passa pela VPC que você identificou quando se integrou ao Studio ou chamou a API. [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html) O diagrama a seguir mostra a configuração padrão.
![\[SageMaker Diagrama do Studio VPC mostrando o uso direto do acesso à Internet.\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/studio/studio-vpc-internet.png)
## Comunicação da `VPC only` com a internet
Para impedir que a SageMaker IA forneça acesso à Internet aos seus notebooks Studio, desative o acesso à Internet especificando o tipo de acesso à `VPC only` rede. Especifique esse tipo de acesso à rede ao se [integrar ao Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-vpc.html) ou chamar a [CreateDomain](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateDomain.html)API. Como resultado, não será possível executar um caderno do Studio, a menos que:
+ sua VPC tem um endpoint de interface para a SageMaker API e o tempo de execução, ou um gateway NAT com acesso à Internet
+ seus grupos de segurança permitam conexões de saída.
O diagrama a seguir mostra uma configuração para usar o modo somente VPC.
![\[SageMaker Diagrama do Studio VPC mostrando o uso do modo somente VPC.\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/studio/studio-vpc-private.png)
### Requisitos para usar o modo `VPC only`
Quando você escolher `VpcOnly`, siga estas etapas:
1. Você deve usar somente sub-redes privadas. Você não pode usar sub-redes públicas no modo `VpcOnly`.
1. Certifique-se de que suas sub-redes tenham o número exigido de endereços IP necessários. O número esperado de endereços IP necessários por usuário pode variar de acordo com o caso de uso. Recomendamos entre 2 e 4 endereços IP por usuário. A capacidade total do endereço IP de um domínio do Studio é a soma dos endereços IP disponíveis para cada sub-rede fornecida quando o domínio é criado. Certifique-se de que o uso estimado de endereço IP não exceda a capacidade compatível com o número de sub-redes que você fornece. Além disso, o uso de sub-redes distribuídas em várias zonas de disponibilidade pode ajudar na disponibilidade de endereço IP. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede](https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-sizing-ipv4) para. IPv4
**nota**
Você pode configurar somente sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
1.
**Atenção**
Ao usar o modo `VpcOnly`, você possui parcialmente a configuração de rede do domínio. Recomendamos a melhor prática de segurança de aplicar permissões de privilégio mínimo ao acesso de entrada e saída que as regras do grupo de segurança fornecem. Configurações de regras de entrada excessivamente permissivas podem permitir que usuários com acesso à VPC interajam com as aplicações de outros perfis de usuário sem autenticação.
Configure um ou mais grupos de segurança com regras de entrada e saída que permitam o seguinte tráfego:
+ [Tráfego NFS via TCP na porta 2049](https://docs.aws.amazon.com/efs/latest/ug/network-access.html) entre o domínio e o volume do Amazon EFS.
+ [Tráfego TCP dentro do grupo de segurança](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-other-instances). Isso é necessário para a conectividade entre a aplicação Jupyter Server e as aplicações Kernel Gateway. Você deve permitir o acesso pelo menos às portas no intervalo `8192-65535`.
Crie um grupo de segurança distinto para cada perfil de usuário e adicione acesso de entrada desse mesmo grupo de segurança. Não recomendamos reutilizar um grupo de segurança no nível de domínio para perfis de usuário. Se o grupo de segurança no nível de domínio permitir acesso de entrada para ele mesmo, todas as aplicações no domínio terão acesso a todas as outras aplicações no domínio.
1. Se você quiser permitir o acesso à Internet, deverá usar um [gateway NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with) com acesso à Internet, por exemplo, por meio de um [gateway da Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html).
1. Para remover o acesso à Internet, [crie uma interface VPC endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) (AWS PrivateLink) para permitir que o Studio acesse os seguintes serviços com os nomes de serviço correspondentes. Você também deve associar os grupos de segurança da sua VPC a esses endpoints.
+ SageMaker API: `com.amazonaws.region.sagemaker.api`
+ SageMaker Tempo de execução da IA:`com.amazonaws.region.sagemaker.runtime`. Isso é necessário para executar cadernos Studio e para treinar e hospedar modelos.
+ Amazon S3: `com.amazonaws.region.s3`.
+ Para usar SageMaker projetos:`com.amazonaws.region.servicecatalog`.
+ Quaisquer outros AWS serviços de que você precise.
Se você usa o [SDK do SageMaker Python](https://sagemaker.readthedocs.io/en/stable/) para executar trabalhos de treinamento remoto, também deve criar os seguintes endpoints da Amazon VPC.
+ AWS Security Token Service: `com.amazonaws.region.sts`
+ Amazon CloudWatch:`com.amazonaws.region.logs`. Isso é necessário para permitir que o SageMaker Python SDK obtenha o status do trabalho de treinamento remoto de. Amazon CloudWatch
**nota**
Para um cliente que trabalha no modo VPC, os firewalls da empresa podem causar problemas de conexão com o SageMaker Studio ou entre o. JupyterServer KernelGateway Faça as seguintes verificações se você se deparar com um desses problemas ao usar o SageMaker Studio por trás de um firewall.
Verifique se o URL do Studio está na lista de permissões da sua rede.
Verifique se as conexões do websocket não estão bloqueadas. O Jupyter usa um websocket dentro do sistema. Se o KernelGateway aplicativo estiver InService, JupyterServer talvez não consiga se conectar ao KernelGateway. Você também deve ver esse problema ao abrir o Terminal do Sistema.
**Para saber mais**
+ [Protegendo a conectividade do Amazon SageMaker Studio usando uma VPC privada](https://aws.amazon.com/blogs/machine-learning/securing-amazon-sagemaker-studio-connectivity-using-a-private-vpc).
+ [Grupos de segurança para a VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
+ [VPC com sub-redes públicas e privadas (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario2.html)
# Conectar uma instância de caderno em uma VPC aos recursos externos
O tópico a seguir fornece informações sobre como conectar sua instância de caderno em uma VPC a recursos externos.
## Comunicação padrão com a internet
Quando seu notebook permite *acesso direto à Internet*, a SageMaker IA fornece uma interface de rede que permite que o notebook se comunique com a Internet por meio de uma VPC gerenciada pela SageMaker IA. O tráfego dentro do CIDR da VPC passará por meio da interface de rede elástica criada em sua VPC. Todo o outro tráfego passa pela interface de rede criada pela SageMaker IA, que é essencialmente pela Internet pública. O tráfego para os endpoints da VPC do gateway, como o Amazon S3 e o DynamoDB, passará pela Internet pública, enquanto o tráfego para os endpoints de interface da VPC ainda passará pela sua VPC. Se você quiser usar os endpoints da VPC do gateway, desabilite o acesso direto à Internet.
## Comunicação somente VPC com a internet
Para desativar o acesso direto à Internet, você pode especificar uma VPC para sua instância de caderno. Ao fazer isso, você impede que a SageMaker IA forneça acesso à Internet à sua instância do notebook. Como resultado, a instância de caderno não poderá treinar ou hospedar modelos, a menos que sua VPC tenha um endpoint de interface (AWS PrivateLink) ou um gateway NAT, e seus grupos de segurança permitam conexões de saída.
Para obter informações sobre como criar um endpoint de interface VPC AWS PrivateLink para usar em sua instância de notebook, consulte. [Conectar-se a uma instância de caderno por meio de um endpoint de interface VPC](notebook-interface-endpoint.md) Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte [VPC com sub-redes pública e privada (NAT)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para obter informações sobre grupos de segurança, consulte [Grupos de segurança para sua VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html). Para obter mais informações sobre configurações de rede em cada modo de rede e como configurar a rede no local, consulte Entendendo as configurações de rede de [instâncias de SageMaker notebooks e as opções avançadas de roteamento da Amazon](https://aws.amazon.com/blogs/machine-learning/understanding-amazon-sagemaker-notebook-instance-networking-configurations-and-advanced-routing-options/).
**Atenção**
Ao usar uma VPC para sua instância de caderno, a configuração de rede da instância pertence parcialmente a você. Como prática recomendada de segurança, sugerimos aplicar permissões de privilégio mínimo ao acesso de entrada e saída que você permite por meio de suas regras de grupo de segurança. Se você aplicar configurações de regras de entrada excessivamente permissivas, os usuários que tiverem acesso à sua VPC poderão acessar seus cadernos Jupyter sem se autenticarem.
## Instâncias de segurança e caderno compartilhadas
Uma instância de SageMaker notebook foi projetada para funcionar melhor para um usuário individual. Com ela, cientistas de dados e outros usuários potencializam o gerenciamento de seus ambientes de desenvolvimento.
Um usuário de instância de caderno tem acesso raiz para instalar pacotes e outros softwares pertinentes. Recomendamos atenção quando você for permitir que outras pessoas acessem as instâncias de caderno anexadas a uma VPC que contém informações confidenciais. Por exemplo, você pode conceder acesso a uma instância de caderno a um usuário com uma política do IAM que permita que ele crie um URL de caderno pré-assinado, como mostrado no seguinte exemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Resource": "arn:aws:sagemaker:us-east-1:111122223333:notebook-instance/myNotebookInstance"
}
]
}
```
------
# Executar contêineres de treinamento e inferência no modo sem Internet
SageMaker O treinamento de IA e os contêineres de inferência implantados são habilitados para a Internet por padrão. Isso permite que contêineres acessem serviços e recursos externos na Internet pública como parte de suas workloads de treinamento e inferência. No entanto, isso pode fornecer um caminho para o acesso não autorizado aos seus dados. Por exemplo, um usuário ou código mal-intencionado que você instala acidentalmente no contêiner (na forma de uma biblioteca de código-fonte disponível publicamente) pode acessar seus dados e transferi-los para um host remoto.
Se você usar uma Amazon VPC especificando um valor para o parâmetro `VpcConfig` quando chamar [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html), ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html), poderá proteger seus dados e recursos gerenciando grupos de segurança e restringindo o acesso à Internet em sua VPC. No entanto, isso ocorre com o custo de configuração de rede adicional e corre o risco de configurar sua rede incorretamente. Se você não quiser que a SageMaker IA forneça acesso externo à rede aos seus contêineres de treinamento ou inferência, você pode ativar o isolamento da rede.
## Isolamento de rede
Você pode habilitar o isolamento de rede ao criar seu trabalho ou modelo de treinamento definindo o valor do parâmetro `EnableNetworkIsolation` como `True` quando você chama [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html), [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateHyperParameterTuningJob.html) ou [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html).
**nota**
O isolamento de rede é necessário para executar trabalhos e modelos de treinamento usando recursos do AWS Marketplace. Para maior segurança, AWS Marketplace as imagens são executadas em uma Amazon VPC. Eles só têm acesso aos dados em seus sistemas de arquivos locais.
Quando você ativa o isolamento da rede, seus contêineres de treinamento e inferência não podem fazer nenhuma chamada de rede externa para nenhum serviço, incluindo o Amazon S3. Nenhuma AWS credencial é disponibilizada para o ambiente de execução do contêiner. Para trabalhos de treinamento com várias instâncias, o tráfego de entrada e saída da rede é limitado à comunicação entre colegas de contêineres de treinamento.
SageMaker A IA ainda gerencia todas as operações necessárias de download e upload do Amazon S3 usando sua função de execução de SageMaker IA. Isso acontece além dos contêineres de treinamento e inferência, garantindo que os dados de treinamento e os artefatos do modelo ainda estejam acessíveis, mantendo o isolamento do contêiner.
Os seguintes contêineres de SageMaker IA gerenciados não oferecem suporte ao isolamento de rede porque exigem acesso ao Amazon S3:
+ Chainer
+ SageMaker Aprendizagem por reforço de IA
### Isolamento de rede com uma VPC
O isolamento de rede pode ser usado em conjunto com uma VPC. Nesse cenário, o download e o upload de dados do cliente e artefatos de modelo são roteados por meio da sua sub-rede da VPC. No entanto, os próprios contêineres de treinamento e inferência continuam isolados da rede e não têm acesso a nenhum recurso dentro da sua VPC ou na Internet.
# Conecte-se à SageMaker IA em sua VPC
Você pode se conectar diretamente à SageMaker API ou ao Amazon SageMaker Runtime por meio de um [endpoint de interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) em sua nuvem privada virtual (VPC) em vez de se conectar pela Internet. Quando você usa um endpoint de interface VPC, a comunicação entre sua VPC e a API de SageMaker IA ou o Runtime é conduzida de forma completa e segura em uma rede. AWS
## Conecte-se à SageMaker IA por meio de um endpoint de interface VPC
A SageMaker API e o SageMaker AI Runtime oferecem suporte a endpoints de interface da [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) que são alimentados por. [AWS PrivateLink](https://aws.amazon.com/privatelink) Cada endpoint da VCP é representado por uma ou mais [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) com endereços IP privados em suas sub-redes da VPC. Por exemplo, um aplicativo dentro da sua VPC usa AWS PrivateLink para se comunicar com o SageMaker AI Runtime. SageMaker O AI Runtime, por sua vez, se comunica com o endpoint de SageMaker IA. AWS PrivateLink O uso permite que você invoque seu endpoint de SageMaker IA de dentro da sua VPC, conforme mostrado no diagrama a seguir.
![\[\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/security-vpc-SM.png)
O endpoint da interface VPC conecta sua VPC diretamente à SageMaker API ou ao SageMaker AI Runtime AWS PrivateLink sem usar um gateway de internet, dispositivo NAT, conexão VPN ou conexão. Direct Connect As instâncias em sua VPC não precisam se conectar à Internet pública para se comunicar com a SageMaker API ou o SageMaker AI Runtime.
Você pode criar um endpoint de AWS PrivateLink interface para se conectar ao SageMaker AI ou ao SageMaker AI Runtime usando o Console de gerenciamento da AWS ou AWS Command Line Interface (AWS CLI). Para obter instruções, consulte [Acessar um AWS serviço usando uma interface VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint) endpoint.
Se você não habilitou um nome de host privado do Sistema de Nomes de Domínio (DNS) para seu VPC endpoint, *depois de criar um VPC endpoint, especifique a URL do endpoint* de internet para a API ou o AI Runtime. SageMaker SageMaker Veja a seguir um exemplo de código usando AWS CLI comandos para especificar o `endpoint-url` parâmetro.
```
aws sagemaker list-notebook-instances --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker list-training-jobs --endpoint-url VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
aws sagemaker-runtime invoke-endpoint --endpoint-url https://VPC_Endpoint_ID.runtime.sagemaker.Region.vpce.amazonaws.com \
--endpoint-name Endpoint_Name \
--body "Endpoint_Body" \
--content-type "Content_Type" \
Output_File
```
Se você habilitar nomes de host DNS privados para seu VPC endpoint, não precisará especificar o URL do endpoint porque é o nome de host padrão (https://api.sagemaker). *Region*.amazon.com) resolve para seu VPC endpoint. Da mesma forma, o nome de host DNS padrão do SageMaker AI Runtime (https://runtime.sagemaker). *Region*.amazonaws.com) também se resolve para seu VPC endpoint.
[A SageMaker API e o SageMaker AI Runtime oferecem suporte a endpoints de VPC em todos os lugares onde o Amazon [VPC Regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) e o AI estão disponíveis. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region) SageMaker A IA oferece suporte para fazer chamadas para tudo [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_Operations.html)dentro da sua VPC. Se você usar o `AuthorizedUrl` do comando [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html), seu tráfego passará pela internet pública. Você não pode usar apenas um endpoint de VPC para acessar o URL pré-assinado, a solicitação deve passar pelo gateway da internet.
Por padrão, seus usuários podem compartilhar o URL pré-assinado com pessoas fora da sua rede corporativa. Para maior segurança, você deve adicionar permissões do IAM para restringir que o URL só possa ser usado na sua rede. Para obter informações sobre as permissões do IAM, consulte [Como AWS PrivateLink funciona com o IAM](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_service-with-iam.html).
**nota**
Ao configurar um endpoint de interface VPC para o serviço SageMaker AI Runtime (https://runtime.sagemaker). `Region`.amazonaws.com), você deve garantir que o endpoint da interface VPC esteja ativado na zona de disponibilidade do seu cliente para que a resolução de DNS privado funcione. Caso contrário, você poderá ver falhas de DNS ao tentar resolver o URL.
Para saber mais sobre isso AWS PrivateLink, consulte a [AWS PrivateLink documentação](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink). Consulte os [Preços do AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/) para conhecer o preço dos endpoints da VPC. Para saber mais sobre VPC e endpoints, consulte [Amazon VPC](https://aws.amazon.com/vpc/). Para obter informações sobre como usar AWS Identity and Access Management políticas baseadas em identidade para restringir o acesso à SageMaker API e ao SageMaker AI Runtime, consulte. [Controle o acesso à API de SageMaker IA usando políticas baseadas em identidade](security_iam_id-based-policy-examples.md#api-access-policy)
## Usando SageMaker treinamento e hospedagem com recursos dentro de sua VPC
SageMaker A IA usa sua função de execução para baixar e carregar informações de um bucket do Amazon S3 e do Amazon Elastic Container Registry (Amazon ECR), isoladamente do seu contêiner de treinamento ou inferência. Se você tiver recursos localizados dentro da sua VPC, ainda poderá conceder acesso de SageMaker IA a esses recursos. As seções a seguir explicam como disponibilizar seus recursos para a SageMaker IA com ou sem isolamento de rede.
### Sem o isolamento de rede ativado
Se você não definiu o isolamento de rede em seu trabalho ou modelo de treinamento, a SageMaker IA pode acessar recursos usando um dos métodos a seguir.
+ SageMaker contêineres de treinamento e inferência implantados podem acessar a Internet por padrão. SageMaker Os contêineres de IA podem acessar serviços e recursos externos na Internet pública como parte de suas cargas de trabalho de treinamento e inferência. SageMaker Os contêineres de IA não conseguem acessar recursos dentro da sua VPC sem uma configuração de VPC, conforme mostrado na ilustração a seguir.
![\[\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/security-vpc-no-config.png)
+ Use uma configuração de VPC para se comunicar com os recursos dentro da sua VPC por meio de uma interface de rede elástica (ENI). A comunicação entre o contêiner e os recursos em sua VPC ocorre com segurança em sua rede de VPC, conforme mostrado na ilustração a seguir. Nesse caso, você gerencia o acesso à rede aos seus recursos de VPC e à Internet.
![\[\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/security-vpc-config.png)
### Com isolamento de rede
Se você empregar isolamento de rede, o contêiner de SageMaker IA não poderá se comunicar com recursos dentro da sua VPC nem fazer nenhuma chamada de rede, conforme mostrado na ilustração a seguir. Se você fornecer uma configuração de VPC, as operações de download e upload serão executadas por meio de sua VPC. Para obter mais informações sobre hospedagem e treinamento com isolamento de rede ao usar uma VPC, consulte [Isolamento de rede](mkt-algo-model-internet-free.md#mkt-algo-model-internet-free-isolation).
![\[\]](http://docs.aws.amazon.com/pt_br/sagemaker/latest/dg/images/security-network-isolation-no-config.png)
## Crie uma política de VPC Endpoint para IA SageMaker
Você pode criar uma política para endpoints Amazon VPC para SageMaker IA para especificar o seguinte:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para obter mais informações, consulte [Controlar o acesso a serviços com endpoint da VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Manual do usuário da Amazon VPC*.
**nota**
As políticas de endpoint de VPC não são compatíveis com endpoints de tempo de execução de SageMaker IA do Federal Information Processing Standard (FIPS) para. [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_runtime_InvokeEndpoint.html)
O exemplo a seguir da política de VPC endpoint especifica que todos os usuários que têm acesso ao endpoint da interface VPC têm permissão para invocar o endpoint hospedado por IA chamado. SageMaker `myEndpoint`
```
{
"Statement": [
{
"Action": "sagemaker:InvokeEndpoint",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:endpoint/myEndpoint",
"Principal": "*"
}
]
}
```
Neste exemplo, as seguintes opções são negadas:
+ Outras ações SageMaker da API, como `sagemaker:CreateEndpoint` `sagemaker:CreateTrainingJob` e.
+ Invocando endpoints hospedados por SageMaker IA que não sejam. `myEndpoint`
**nota**
Neste exemplo, os usuários ainda podem realizar outras ações de SageMaker API de fora da VPC. Para obter informações sobre como restringir chamadas de API àquelas da VPC, consulte [Controle o acesso à API de SageMaker IA usando políticas baseadas em identidade](security_iam_id-based-policy-examples.md#api-access-policy).
## Crie uma política de VPC Endpoint para a Amazon Feature Store SageMaker
Para criar um VPC Endpoint para a Amazon SageMaker Feature Store, use o seguinte modelo de endpoint, substituindo seu e: *VPC\$1Endpoint\$1ID.api* *Region*
`VPC_Endpoint_ID.api.featurestore-runtime.sagemaker.Region.vpce.amazonaws.com`
# Conecte-se ao Amazon SageMaker Studio e ao Studio Classic por meio de uma interface VPC Endpoint
Você pode se conectar ao Amazon SageMaker Studio e ao Amazon SageMaker Studio Classic a partir da [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) (Amazon VPC) por meio de um [endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) na sua VPC, em vez de se conectar pela Internet. Quando você usa uma interface VPC endpoint (endpoint de interface), a comunicação entre sua VPC e o Studio ou o Studio Classic é conduzida de forma completa e segura na rede. AWS
O Studio e o Studio Classic são compatíveis com endpoints de interface que são fornecidos pelo [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html). Cada endpoint de VPC é representado por uma ou mais [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) com endereços IP privados em suas sub-redes da VPC.
O Studio e o Studio Classic oferecem suporte a endpoints de interface em todas as AWS regiões em que o [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/pricing/) e o [Amazon VPC](https://aws.amazon.com/vpc/pricing/) estão disponíveis.
**Topics**
+ [Criar um endpoint de VPC](#studio-interface-endpoint-create)
+ [Criar uma política de endpoint de VPC para o Studio ou Studio Classic](#studio-private-link-policy)
+ [Permitir o acesso somente de dentro da sua VPC](#studio-private-link-restrict)
## Criar um endpoint de VPC
Você pode criar um endpoint de interface para se conectar ao Studio ou ao Studio Classic com o AWS console ou com o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Certifique-se de criar endpoints de interface para todas as sub-redes da VPC com a qual você deseja se conectar ao Studio e Studio Classic.
Ao criar um endpoint de interface, verifique se os grupos de segurança em seu endpoint permitem acesso de entrada para tráfego HTTPS dos grupos de segurança associados ao Studio e Studio Classic. Para obter mais informações, consulte [Controlar o acesso aos serviços com endpoints de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**nota**
Além de criar um endpoint de interface para se conectar ao Studio e ao Studio Classic, crie um endpoint de interface para se conectar à API da Amazon SageMaker . Quando os usuários ligam [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedDomainUrl.html)para obter a URL para se conectar ao Studio e ao Studio Classic, essa chamada passa pelo endpoint da interface usado para se conectar à SageMaker API.
Ao criar o endpoint de interface, especifique **aws.sagemaker.*Region*.studio** como o nome de serviço para o Studio ou Studio Classic. Depois de criar um endpoint de interface, habilite o DNS privado para seu endpoint. Quando você se conecta ao Studio ou ao Studio Classic de dentro da VPC usando a SageMaker API, o ou o console AWS CLI, você se conecta por meio do endpoint da interface em vez da Internet pública. Você também precisa configurar um DNS personalizado com zonas hospedadas privadas para o endpoint da Amazon VPC, para que o Studio ou o Studio Classic possam acessar a API usando SageMaker o endpoint em vez de usar `api.sagemaker.$region.amazonaws.com` a URL do endpoint da VPC. Para obter instruções sobre como configurar uma zona hospedada privada, consulte [Trabalhar com zonas hospedadas privadas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html).
## Criar uma política de endpoint de VPC para o Studio ou Studio Classic
Você pode anexar uma política de endpoint de VPC da Amazon a endpoints de VPC de interface que você usa para se conectar ao Studio ou Studio Classic. A política de endpoint controla o acesso ao Studio ou Studio Classic. É possível especificar o seguinte:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para usar um VPC endpoint com o Studio ou o Studio Classic, sua política de endpoint deve permitir a `CreateApp` operação no tipo de aplicativo. KernelGateway Isso permite que o tráfego que é roteado por meio do endpoint de VPC chame a API `CreateApp`. O exemplo de política de endpoint de VPC a seguir mostra como conceder a permissão à operação `CreateApp`.
```
{
"Statement": [
{
"Action": "sagemaker:CreateApp",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:app/domain-id/*",
"Principal": "*"
}
]
}
```
Para obter mais informações, consulte [Controlar acesso a serviços com endpoints de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
O exemplo a seguir de uma política de VPC endpoint especifica que todos os usuários que têm acesso ao endpoint têm permissão para acessar os perfis de usuário no domínio de SageMaker IA com o ID de domínio especificado. O acesso a outros domínios é negado.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedDomainUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/*",
"Principal": "*"
}
]
}
```
## Permitir o acesso somente de dentro da sua VPC
Usuários fora da sua VPC podem se conectar ao Studio ou Studio Classic pela internet, mesmo que você configure um endpoint de interface na sua VPC.
Para permitir o acesso somente às conexões feitas de dentro da sua VPC, crie uma política do (IAM) AWS Identity and Access Management para esse efeito. Adicione essa política a todos os usuários, grupos ou perfis usados para acessar o Studio ou Studio Classic. Esse atributo só é compatível com o modo do IAM para autenticação, e não com o modo do Centro de Identidade do IAM. Os exemplos a seguir demonstram como criar essas políticas.
**Importante**
Se você aplicar uma política do IAM semelhante a um dos exemplos a seguir, os usuários não poderão acessar o Studio ou o Studio Classic ou o especificado SageMaker APIs por meio do console de SageMaker IA. Para acessar o Studio ou o Studio Classic, os usuários devem usar uma URL pré-assinada ou ligar SageMaker APIs diretamente para eles.
**Exemplo 1: permitir conexões somente dentro da sub-rede de um endpoint de interface**
A política a seguir permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
**Exemplo 2: permitir conexões somente por meio de endpoints de interface usando `aws:sourceVpce`**
A política a seguir permite conexões somente com aquelas feitas por meio dos endpoints de interface especificados pela chave de condição `aws:sourceVpce`. Por exemplo, o primeiro endpoint da interface pode permitir o acesso por meio do console de SageMaker IA. O segundo endpoint da interface pode permitir o acesso por meio da SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Essa política também inclui a ação [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeUserProfile.html). Normalmente, você chama `DescribeUserProfile` para verificar se o status do perfil do usuário é `InService` antes de tentar se conectar ao domínio. Por exemplo:
```
aws sagemaker describe-user-profile \
--domain-id domain-id \
--user-profile-name profile-name
```
Resposta:
```
{
"DomainId": "domain-id",
"UserProfileArn": "arn:aws:sagemaker:us-west-2:acct-id:user-profile/domain-id/profile-name",
"UserProfileName": "profile-name",
"HomeEfsFileSystemUid": "200001",
"Status": "InService",
"LastModifiedTime": 1605418785.555,
"CreationTime": 1605418477.297
}
```
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name
```
Resposta:
```
{
"AuthorizedUrl": "https://domain-id.studio.us-west-2.sagemaker.aws/auth?token=AuthToken"
}
```
Para ambas as chamadas, se você estiver usando uma versão do AWS SDK lançada antes de 13 de agosto de 2018, deverá especificar a URL do endpoint na chamada. Por exemplo, o seguinte exemplo mostra uma chamada para `create-presigned-domain-url`:
```
aws sagemaker create-presigned-domain-url
--domain-id domain-id \
--user-profile-name profile-name \
--endpoint-url vpc-endpoint-id.api.sagemaker.Region.vpce.amazonaws.com
```
**Exemplo 3: permitir conexões de endereços IP usando `aws:SourceIp`**
A política a seguir permite conexões somente do intervalo especificado de endereços IP usando a chave de condição `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Exemplo 4: permitir conexões de endereços IP por meio de um endpoint de interface usando `aws:VpcSourceIp`**
Se você estiver acessando o Studio ou Studio Classic por meio de um endpoint de interface, poderá usar a chave de condição `aws:VpcSourceIp` para permitir conexões somente do intervalo especificado de endereços IP dentro da sub-rede em que você criou o endpoint da interface, conforme mostrado na política a seguir:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-studio-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableSageMakerStudioAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedDomainUrl",
"sagemaker:DescribeUserProfile"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Conectando-se a um servidor MLflow de rastreamento por meio de uma interface VPC Endpoint
O servidor MLflow de rastreamento é executado em uma Amazon Virtual Private Cloud gerenciada pela Amazon SageMaker AI. Você pode se conectar a um servidor MLflow de rastreamento a partir de um endpoint em sua própria VPC. Suas solicitações ao servidor de rastreamento não são expostas à internet pública. Para obter mais informações sobre como conectar sua VPC à SageMaker IA, consulte. [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md)
**Topics**
+ [Criar um endpoint de VPC](mlflow-interface-endpoint-create.md)
+ [Crie uma política de VPC Endpoint para IA SageMaker MLflow](mlflow-private-link-policy.md)
+ [Permitir o acesso somente de dentro da sua VPC](mlflow-private-link-restrict.md)
# Criar um endpoint de VPC
Você pode criar um endpoint de interface para se conectar à SageMaker IA MLflow. Para obter instruções, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint). Certifique-se de criar endpoints de interface para todas as sub-redes em sua VPC a partir das quais você deseja se conectar à IA. SageMaker MLflow
Ao criar um endpoint de interface, certifique-se de que os grupos de segurança em seu endpoint permitam acesso de entrada e saída para tráfego HTTPS. Para obter mais informações, consulte [Controlar o acesso aos serviços com endpoints de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoints-security-groups).
**nota**
Além de criar um endpoint de interface para se conectar à SageMaker IA MLflow, crie um endpoint de interface para se conectar à API da Amazon SageMaker . Quando os usuários ligam [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedMlflowTrackingServerUrl.html)para obter a URL para se conectar à SageMaker IA MLflow, essa chamada passa pelo endpoint da interface usado para se conectar à SageMaker API.
Ao criar o endpoint de interface, especifique **aws.sagemaker.*Região da AWS*.experiments** como o nome do serviço. Depois de criar um endpoint de interface, habilite o DNS privado para seu endpoint. Quando você se conecta à SageMaker IA MLflow de dentro da VPC usando o SDK do SageMaker Python, você se conecta por meio do endpoint da interface em vez da Internet pública.
Dentro do Console de gerenciamento da AWS, você pode usar o procedimento a seguir para criar um endpoint.
**Para criar um endpoint**
1. Navegue até o [console da nuvem privada virtual da Amazon](https://console.aws.amazon.com/vpcconsole).
1. Navegue até **Endpoints**.
1. Escolha **Criar endpoint**.
1. (Opcional) Em **Nome (tag)**, especifique um nome para o endpoint.
1. Na barra de pesquisa em **Serviços**, especifique **experimentos**.
1. Selecione o endpoint que você está criando.
1. Para **VPC**, especifique o nome da VPC.
1. Escolha **Criar endpoint**.
# Crie uma política de VPC Endpoint para IA SageMaker MLflow
Você pode anexar uma política de endpoint da Amazon VPC aos endpoints de VPC da interface que você usa para se conectar à IA. SageMaker MLflow A política de endpoint controla o acesso a. MLflow É possível especificar o seguinte:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para obter mais informações, consulte [Controlar acesso a serviços com endpoints de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html).
O exemplo a seguir de uma política de VPC endpoint especifica que todos os usuários que têm acesso ao endpoint têm permissão para acessar o servidor de MLflow rastreamento especificado por você. O acesso a outros servidores de rastreamento é negado.
```
{
"Statement": [
{
"Action": "sagemaker-mlflow:*",
"Effect": "Allow",
"Principal": "*",
"Resource": "arn:aws:sagemaker:Região da AWS:111122223333:mlflow-tracking-server/*"
}
]
}
```
# Permitir o acesso somente de dentro da sua VPC
Usuários fora da sua VPC podem se conectar à SageMaker IA MLflow ou pela Internet, mesmo que você configure um endpoint de interface na sua VPC.
Para permitir o acesso somente às conexões feitas de dentro da sua VPC, crie uma política do (IAM) AWS Identity and Access Management para esse efeito. Adicione essa política a cada usuário, grupo ou função usada para acessar a SageMaker IA MLflow. Esse atributo só é compatível com o modo do IAM para autenticação, e não com o modo do Centro de Identidade do IAM. Os exemplos a seguir demonstram como criar essas políticas.
**Importante**
Se você aplicar uma política de IAM semelhante a um dos exemplos a seguir, os usuários não poderão acessar a SageMaker IA MLflow por meio do especificado SageMaker APIs por meio do console de SageMaker IA. Para acessar a SageMaker IA MLflow, os usuários devem usar uma URL pré-assinada ou ligar SageMaker APIs diretamente para ela.
**Exemplo 1: permitir conexões somente dentro da sub-rede de um endpoint de interface**
A política a seguir permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.
------
#### [ JSON ]
****
```
{
"Id": "mlflow-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-111bbaaa"
}
}
}
]
}
```
------
**Exemplo 2: permitir conexões somente por meio de endpoints de interface usando `aws:sourceVpce`**
A política a seguir permite conexões somente com aquelas feitas por meio dos endpoints de interface especificados pela chave de condição `aws:sourceVpce`. Por exemplo, o primeiro endpoint da interface pode permitir o acesso por meio do console de SageMaker IA. O segundo endpoint da interface pode permitir o acesso por meio da SageMaker API.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
**Exemplo 3: permitir conexões de endereços IP usando `aws:SourceIp`**
A política a seguir permite conexões somente do intervalo especificado de endereços IP usando a chave de condição `aws:SourceIp`.
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
}
}
}
]
}
```
------
**Exemplo 4: permitir conexões de endereços IP por meio de um endpoint de interface usando `aws:VpcSourceIp`**
Se você estiver acessando a SageMaker IA MLflow por meio de um endpoint de interface, poderá usar a chave de `aws:VpcSourceIp` condição para permitir conexões somente do intervalo especificado de endereços IP na sub-rede em que você criou o endpoint da interface, conforme mostrado na política a seguir:
------
#### [ JSON ]
****
```
{
"Id": "sagemaker-mlflow-example-4",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MlflowAccess",
"Effect": "Allow",
"Action": [
"sagemaker-mlflow:*"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:VpcSourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
# Conectar-se a uma instância de caderno por meio de um endpoint de interface VPC
Você pode conectar sua instância de caderno da VPC através de um [endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) na sua nuvem privada virtual (VPC) em vez de conectar-se através da internet pública. Quando você usa um endpoint de VPC de interface, a comunicação entre sua VPC e a instância de caderno é realizada de forma completa e segura na rede da AWS .
SageMaker instâncias de notebook oferecem suporte a endpoints de interface da [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html) (Amazon VPC) que são alimentados por. [AWS PrivateLink](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Introduction.html#what-is-privatelink) Cada endpoint da VCP é representado por uma ou mais [interfaces de rede elástica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) com endereços IP privados em suas sub-redes da VPC.
**nota**
Antes de criar uma interface VPC endpoint para se conectar a uma instância de notebook, crie uma interface VPC endpoint para se conectar à API. SageMaker Dessa forma, quando os usuários chamarem [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreatePresignedNotebookInstanceUrl.html) para obter o URL para se conectarem à instância de caderno, essa chamada também será feita por meio do endpoint da interface da VPC. Para mais informações, consulte [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md).
Você pode criar um endpoint de interface para se conectar à instância do notebook com os comandos Console de gerenciamento da AWS ou AWS Command Line Interface (AWS CLI). Para obter instruções, consulte [Criar um endpoint de interface](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html#create-interface-endpoint). Certifique-se de criar um endpoint de interface para todas as sub-redes da VPC da qual você deseja se conectar à instância de caderno.
Ao criar o endpoint da interface, especifique **aws.sagemaker. *Region*.notebook** como nome do serviço. Depois de criar um endpoint da VPC, habilite o DNS privado para seu endpoint da VPC. Qualquer pessoa que use a SageMaker API AWS CLI, o ou o console para se conectar à instância do notebook de dentro da VPC se conecta à instância do notebook por meio do VPC endpoint em vez da Internet pública.
SageMaker [as instâncias de notebook oferecem suporte a endpoints de VPC em todos os lugares em que o Amazon [VPC Regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#vpc_region) e o AI estão disponíveis. SageMaker ](https://docs.aws.amazon.com/general/latest/gr/rande.html#sagemaker_region)
**Topics**
+ [Conectar sua rede privada à sua VPC](#notebook-private-link-vpn-nbi)
+ [Crie uma política de VPC Endpoint para instâncias do AI Notebook SageMaker](#nbi-private-link-policy)
+ [Restringir o acesso a conexões de dentro da sua VPC](#notebook-private-link-restrict)
## Conectar sua rede privada à sua VPC
Para se conectar à sua instância de notebook por meio de sua VPC, você precisa se conectar a partir de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando um () ou. AWS Virtual Private Network Site-to-Site VPN Direct Connect Para obter informações sobre isso Site-to-Site VPN, consulte [Conexões VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para obter informações sobre isso AWS Direct Connect, consulte [Criar uma conexão](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) no *Guia do usuário do AWS Direct Connect*.
## Crie uma política de VPC Endpoint para instâncias do AI Notebook SageMaker
Você pode criar uma política para endpoints da Amazon VPC para instâncias de SageMaker notebooks para especificar o seguinte:
+ A entidade principal que pode realizar ações.
+ As ações que podem ser realizadas.
+ Os recursos aos quais as ações podem ser aplicadas.
Para obter mais informações, consulte [Controlar o acesso a serviços com endpoint da VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) no *Manual do usuário da Amazon VPC*.
O exemplo a seguir de uma política de endpoint da VPC especifica que todos os usuários com acesso ao endpoint têm permissão para acessar a instância de caderno chamada `myNotebookInstance`.
```
{
"Statement": [
{
"Action": "sagemaker:CreatePresignedNotebookInstanceUrl",
"Effect": "Allow",
"Resource": "arn:aws:sagemaker:us-west-2:123456789012:notebook-instance/myNotebookInstance",
"Principal": "*"
}
]
}
```
O acesso a outras instâncias de caderno é negado.
## Restringir o acesso a conexões de dentro da sua VPC
Mesmo que você configure um endpoint de interface na seu VPC, os indivíduos fora dessa VPC podem se conectar à instâncias de caderno pela Internet.
**Importante**
Se você aplicar uma política do IAM semelhante a uma das seguintes, os usuários não poderão acessar a instância especificada SageMaker APIs ou o notebook por meio do console.
Para restringir o acesso apenas conexões feitas de dentro da sua VPC, crie uma política do AWS Identity and Access Management que restringe o acesso apenas às chamadas que vêm de dentro da sua VPC. Em seguida, adicione essa política a cada AWS Identity and Access Management usuário, grupo ou função usada para acessar a instância do notebook.
**nota**
Essa política permite conexões somente para chamadores em uma sub-rede na qual você criou um endpoint de interface.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceVpc": "vpc-111bbaaa"
}
}
}
]
}
```
------
Se você quiser restringir o acesso à instância de caderno apenas para conexões feitas usando o endpoint de interface, use a chave de condição `aws:SourceVpce` em vez de `aws:SourceVpc:`.
------
#### [ JSON ]
****
```
{
"Id": "notebook-example-1",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableNotebookAccess",
"Effect": "Allow",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl",
"sagemaker:DescribeNotebookInstance"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:sourceVpce": [
"vpce-111bbccc",
"vpce-111bbddd"
]
}
}
}
]
}
```
------
Esses dois exemplos de políticas pressupõem que você também criou um endpoint de interface para a SageMaker API. Para obter mais informações, consulte [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md). No segundo exemplo, um dos valores para `aws:SourceVpce` é o ID do endpoint de interface para a instância de caderno. O outro é o ID do endpoint da interface para a SageMaker API.
Os exemplos de políticas aqui incluem [
DescribeNotebookInstance](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_DescribeNotebookInstance.html) porque normalmente você chamaria `DescribeNotebookInstance` para ter certeza de que o `NotebookInstanceStatus` é `InService` antes de tentar conectar-se a ela. Por exemplo:
```
aws sagemaker describe-notebook-instance \
--notebook-instance-name myNotebookInstance
{
"NotebookInstanceArn":
"arn:aws:sagemaker:us-west-2:1234567890ab:notebook-instance/mynotebookinstance",
"NotebookInstanceName": "myNotebookInstance",
"NotebookInstanceStatus": "InService",
"Url": "mynotebookinstance.notebook.us-west-2.sagemaker.aws",
"InstanceType": "ml.m4.xlarge",
"RoleArn":
"arn:aws:iam::1234567890ab:role/service-role/AmazonSageMaker-ExecutionRole-12345678T123456",
"LastModifiedTime": 1540334777.501,
"CreationTime": 1523050674.078,
"DirectInternetAccess": "Disabled"
}
aws sagemaker create-presigned-notebook-instance-url --notebook-instance-name myNotebookInstance
{
"AuthorizedUrl": "https://mynotebookinstance.notebook.us-west-2.sagemaker.aws?authToken=AuthToken
}
```
**nota**
O `presigned-notebook-instance-url`, `AuthorizedUrl`, gerado pode ser usado de qualquer lugar na internet.
Para ambas as chamadas, se você não habilitou nomes de host DNS privados para seu VPC endpoint ou se estiver usando uma versão do AWS SDK lançada antes de 13 de agosto de 2018, você deverá especificar a URL do endpoint na chamada. Por exemplo, a chamada para `create-presigned-notebook-instance-url` é:
```
aws sagemaker create-presigned-notebook-instance-url
--notebook-instance-name myNotebookInstance --endpoint-url
VPC_Endpoint_ID.api.sagemaker.Region.vpce.amazonaws.com
```
## Conectar sua rede privada à sua VPC
Para chamar a SageMaker API e o SageMaker AI Runtime por meio de sua VPC, você precisa se conectar a partir de uma instância que esteja dentro da VPC ou conectar sua rede privada à sua VPC usando um () ou. AWS Virtual Private Network Site-to-Site VPN Direct Connect Para obter informações sobre isso Site-to-Site VPN, consulte [Conexões VPN](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para obter informações sobre isso AWS Direct Connect, consulte [Criar uma conexão](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-connection.html) no *Guia do usuário do AWS Direct Connect*.
# Dê acesso à SageMaker IA aos recursos em sua Amazon VPC
SageMaker Por padrão, a IA executa os seguintes tipos de trabalho em uma Amazon Virtual Private Cloud.
+ Processamento
+ Treinamento
+ Hospedagem de modelos
+ Transformação em lote
+ Amazon SageMaker Clarify
+ SageMaker Compilação de IA
No entanto, contêineres para esses trabalhos acessam AWS recursos, como os buckets do Amazon Simple Storage Service (Amazon S3), nos quais você armazena dados de treinamento e artefatos de modelo, pela Internet.
Para controlar o acesso aos seus contêineres do trabalho e dados, recomendamos criar uma VPC privada e configurá-la para que ela não seja acessível pela Internet. Para obter informações sobre como criar e configurar uma VPC, consulte [Conceitos básicos da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/getting-started-ipv4.html) no *Guia do usuário da Amazon VPC*. Usar uma VPC ajuda a proteger seus contêineres de trabalho e dados, pois é possível configurá-la para não se conectar à Internet. Além disso, permite monitorar todo o tráfego de rede de entrada e saída de seus contêineres de trabalho, com os logs de fluxo da VPC. Para obter mais informações, consulte [Logs de fluxo da VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) no *Guia do usuário do Amazon Virtual Private Cloud*.
Especifique a configuração de sua VPC privada ao criar trabalhos. Basta especificar sub-redes e grupos de segurança. Quando você especifica as sub-redes e os grupos de segurança, a SageMaker IA cria *interfaces de rede elásticas* associadas aos seus grupos de segurança em uma das sub-redes. As interfaces de rede permitem que seus contêineres de trabalho sejam conectados aos recursos em sua VPC. Para obter mais informações sobre interfaces de rede, consulte [Interfaces de rede elástica](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) no *Guia do usuário da Amazon VPC*.
Você especifica uma configuração de VPC dentro do `VpcConfig` objeto da [CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)operação ou [CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)operação. Especificar uma configuração de VPC ao criar um trabalho de treinamento concede ao modelo acesso aos recursos dentro da sua VPC.
Especificar uma configuração de VPC por si só não altera o caminho de invocação. Para se conectar à Amazon SageMaker AI dentro de uma VPC, crie um VPC endpoint e invoque-o. Para obter mais informações, consulte [Conecte-se à SageMaker IA em sua VPC](interface-vpc-endpoint.md).
**Topics**
+ [Dê aos trabalhos de processamento de SageMaker IA acesso aos recursos em sua Amazon VPC](process-vpc.md)
+ [Dê aos trabalhos de treinamento de SageMaker IA acesso aos recursos em sua Amazon VPC](train-vpc.md)
+ [Dê aos endpoints hospedados por SageMaker IA acesso aos recursos em sua Amazon VPC](host-vpc.md)
+ [Conceder aos trabalhos de transformação em lotes acesso aos recursos em sua Amazon VPC](batch-vpc.md)
+ [Dê ao Amazon SageMaker Clarify Jobs acesso aos recursos em sua Amazon VPC](clarify-vpc.md)
+ [Dê aos trabalhos de compilação de SageMaker IA acesso aos recursos em sua Amazon VPC](neo-vpc.md)
+ [Dar aos trabalhos do Inference Recommender acesso aos recursos em sua Amazon VPC](inference-recommender-vpc-access.md)
# Dê aos trabalhos de processamento de SageMaker IA acesso aos recursos em sua Amazon VPC
Para controlar o acesso aos seus dados e trabalhos de processamento, crie uma Amazon VPC com sub-redes privadas. Para obter informações sobre como criar e configurar uma VPC, consulte [Conceitos básicos da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-getting-started.html) no *Guia do usuário da Amazon VPC*.
É possível monitorar todo o tráfego de rede de entrada e saída dos contêineres de processamento com os logs de fluxo da VPC. Para obter mais informações, consulte [Logs de fluxo da VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/flow-logs.html) no *Guia do usuário do Amazon Virtual Private Cloud*.
Este documento explica como adicionar configurações da Amazon VPC para trabalhos de processamento.
## Configurar um trabalho de processamento para acesso à Amazon VPC
Você configura o trabalho de processamento especificando as sub-redes e o grupo de segurança dentro IDs da VPC. Não é necessário especificar a sub-rede para o contêiner de processamento. O Amazon SageMaker AI extrai automaticamente o contêiner de processamento do Amazon ECR. Para obter mais informações sobre os contêineres de processamento, consulte [Cargas de trabalho de transformação de dados com processamento SageMaker](processing-job.md).
Ao criar um trabalho de processamento, você pode especificar sub-redes e grupos de segurança em sua VPC usando o console de SageMaker IA ou a API.
Para usar a API, você especifica as sub-redes e o grupo de segurança IDs no `NetworkConfig.VpcConfig` parâmetro da [ CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob.html)operação. SageMaker A IA usa os detalhes da sub-rede e do grupo de segurança para criar as interfaces de rede e anexá-las aos contêineres de processamento. As interfaces de rede concedem aos contêineres de processamento uma conexão de rede na sua VPC. Isso permite que o trabalho de processamento se conecte aos recursos que existem em sua VPC.
Veja a seguir um exemplo do parâmetro `VpcConfig` incluído na sua chamada para a operação `CreateProcessingJob`.
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure sua VPC privada para SageMaker processamento de IA
Ao configurar a VPC privada para SageMaker seus trabalhos de processamento de IA, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte [Trabalho com VPCs e sub-redes no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Guia do usuário da Amazon *VPC*.
**Topics**
+ [Certifique-se de que as sub-redes tenham endereços IP suficientes](#process-vpc-ip)
+ [Criar um endpoint da VPC para o Amazon S3](#process-vpc-s3)
+ [Use uma política de endpoint personalizada para restringir o acesso ao S3](#process-vpc-policy)
+ [Configurar tabelas de rotas](#process-vpc-route-table)
+ [Configuração do grupo de segurança da VPC](#process-vpc-groups)
+ [Conectar-se a recursos fora de sua VPC](#process-vpc-nat)
+ [Monitore trabalhos SageMaker de processamento da Amazon com CloudWatch registros e métricas](#process-vpc-cloudwatch)
### Certifique-se de que as sub-redes tenham endereços IP suficientes
As sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de processamento. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Guia do usuário IPv4 da Amazon *VPC*.
### Criar um endpoint da VPC para o Amazon S3
Se você configurar a VPC para que os contêineres de processamento não tenham acesso à Internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm os dados, a menos que você crie um endpoint de VPC que permita o acesso. Ao criar um endpoint da VPC, você permite que os contêineres de processamento acessem os buckets onde os dados são armazenados. Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC privada acessem os buckets do S3. Para obter mais informações, consulte [Endpoints para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Criação de um endpoint da VPC do S3**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Endpoints** e **Criar endpoint**.
1. Em **Nome do serviço**, escolha **com.amazonaws. *region*.s3**, onde *region* está o nome da região em que sua VPC reside.
1. Em **VPC**, escolha a VPC que você deseja usar para esse endpoint.
1. Para **Configurar tabelas de rotas**, selecione as tabelas de rotas a serem usadas pelo endpoint. O serviço VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do S3 para o novo endpoint.
1. Em **Política**, escolha **Acesso total** para permitir acesso total ao serviço do S3 por qualquer usuário ou serviço dentro da VPC. Escolha **Personalizar** para restringir ainda mais o acesso. Para mais informações, consulte [Use uma política de endpoint personalizada para restringir o acesso ao S3](#process-vpc-policy).
### Use uma política de endpoint personalizada para restringir o acesso ao S3
A política de endpoint padrão permite acesso total ao S3 para qualquer usuário ou serviço em sua VPC. Para restringir ainda mais o acesso ao S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte [Usar políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Você também pode usar uma política de buckets para restringir o acesso aos seus buckets do S3 somente ao tráfego proveniente da sua Amazon VPC. Para obter informações, consulte [Usar as Políticas do Bucket do Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restringir a instalação do pacote no contêiner de processamento
A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 no contêiner de processamento. Se você não deseja que os usuários instalem pacotes, crie uma política de endpoint personalizada que negue explicitamente o acesso a esses repositórios. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tabelas de rotas
Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos de processamento sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte [Roteamento para endpoints do gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) no *Guia do usuário da Amazon VPC*.
### Configuração do grupo de segurança da VPC
No processamento distribuído, é necessário permitir a comunicação entre os diferentes contêineres no mesmo trabalho de processamento. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada entre membros do mesmo grupo de segurança. Para obter mais informações, consulte [Regras de grupos de segurança](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Conectar-se a recursos fora de sua VPC
Se você estiver conectando seus modelos a recursos fora da VPC em que eles estão sendo executados, faça o seguinte:
+ **Conecte-se a outros AWS serviços** — Se seu modelo precisar acessar um AWS serviço que suporte endpoints de interface Amazon VPC, crie um endpoint para se conectar a esse serviço. Para obter uma lista de serviços que oferecem suporte a endpoints de interface, consulte [AWS serviços que se integram AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html) no Guia do AWS PrivateLink usuário. Para obter informações sobre como criar uma interface VPC endpoint, consulte [Acessar um AWS serviço usando uma interface VPC endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) no Guia do usuário. AWS PrivateLink
+ **Conecte-se a recursos pela Internet**: Se seus modelos estiverem sendo executados em instâncias em uma Amazon VPC que não tenha uma sub-rede com acesso à Internet, os modelos não terão acesso aos recursos na Internet. Se seu modelo precisar acessar um AWS serviço que não ofereça suporte a endpoints VPC de interface ou a um recurso externo AWS, verifique se você está executando seus modelos em uma sub-rede privada que tenha acesso à Internet usando um gateway NAT público em uma sub-rede pública. Depois de executar seus modelos na sub-rede privada, configure seus grupos de segurança e listas de controle de acesso à rede (NACLs) para permitir conexões de saída da sub-rede privada para o gateway NAT público na sub-rede pública. Para obter mais informações, consulte [Gateways NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html ) no Guia do usuário da Amazon VPC.
### Monitore trabalhos SageMaker de processamento da Amazon com CloudWatch registros e métricas
A Amazon SageMaker AI fornece CloudWatch registros e métricas da Amazon para monitorar trabalhos de treinamento. CloudWatch fornece CPU, GPU, memória, memória de GPU, métricas de disco e registro de eventos. Para obter mais informações sobre o monitoramento SageMaker dos trabalhos de processamento da Amazon, consulte [Métricas de SageMaker IA da Amazon na Amazon CloudWatch](monitoring-cloudwatch.md) [SageMaker Métricas de trabalho de IA](monitoring-cloudwatch.md#cloudwatch-metrics-jobs) e.
# Dê aos trabalhos de treinamento de SageMaker IA acesso aos recursos em sua Amazon VPC
**nota**
Para trabalhos de treinamento, você pode configurar apenas sub-redes com uma VPC de locação padrão em que sua instância é executada em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configurar um trabalho de treinamento para acesso à Amazon VPC
Para controlar o acesso aos seus trabalhos de treinamento, execute-os em uma Amazon VPC com sub-redes privadas que não têm acesso à Internet.
Você configura o trabalho de treinamento para ser executado na VPC especificando suas sub-redes e grupo de segurança. IDs Não é necessário especificar a sub-rede para o contêiner do trabalho de treinamento. O Amazon SageMaker AI extrai automaticamente a imagem do contêiner de treinamento do Amazon ECR.
Ao criar um trabalho de treinamento, você pode especificar as sub-redes e os grupos de segurança em sua VPC usando o console Amazon SageMaker AI ou a API.
Para usar a API, você especifica as sub-redes e o grupo de segurança IDs no `VpcConfig` parâmetro da [ CreateTrainingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTrainingJob.html)operação. SageMaker A IA usa os detalhes da sub-rede e do grupo de segurança para criar as interfaces de rede e anexá-las aos contêineres de treinamento. As interfaces de rede concedem aos contêineres de treinamento uma conexão de rede na sua VPC. Isso permite que o trabalho de treinamento se conecte aos recursos que existem em sua VPC.
Veja a seguir um exemplo do parâmetro `VpcConfig` incluído na sua chamada para a operação `CreateTrainingJob`.
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure sua VPC privada para SageMaker treinamento de IA
Ao configurar a VPC privada para SageMaker seus trabalhos de treinamento de IA, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte [Trabalho com VPCs e sub-redes no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Guia do usuário da Amazon *VPC*.
**Topics**
+ [Certifique-se de que as sub-redes tenham endereços IP suficientes](#train-vpc-ip)
+ [Criar um endpoint da VPC para o Amazon S3](#train-vpc-s3)
+ [Use uma política de endpoint personalizada para restringir o acesso ao S3](#train-vpc-policy)
+ [Configurar tabelas de rotas](#train-vpc-route-table)
+ [Configuração do grupo de segurança da VPC](#train-vpc-groups)
+ [Conectar-se a recursos fora de sua VPC](#train-vpc-nat)
+ [Monitore trabalhos SageMaker de treinamento da Amazon com CloudWatch registros e métricas](#train-vpc-cloudwatch)
### Certifique-se de que as sub-redes tenham endereços IP suficientes
As instâncias de treinamento que *não usam* um Elastic Fabric Adapter (EFA) devem ter pelo menos dois endereços IP privados. As instâncias de treinamento que não usam um EFA devem ter pelo menos cinco endereços IP privados. Para obter mais informações, consulte [Vários endereços IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) no Guia do usuário do Amazon EC2.
As sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de treinamento. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Guia do usuário IPv4 da Amazon *VPC*.
### Criar um endpoint da VPC para o Amazon S3
Se você configurar sua VPC para que os contêineres de treinamento não tenham acesso à Internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm os dados de treinamento, a menos que você crie um endpoint de VPC que permita o acesso. Ao criar um endpoint da VPC, você permite que os contêineres de treinamento acessem os buckets de armazenamento dos dados e artefatos de modelo. Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC privada acessem os buckets do S3. Para obter mais informações, consulte [Endpoints para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Criação de um endpoint da VPC do S3**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Endpoints** e **Criar endpoint**.
1. Em **Nome do serviço**, pesquise **com.amazonaws. *region*.s3**, onde *region* está o nome da região em que sua VPC reside.
1. Escolha o tipo de **gateway**.
1. Em **VPC**, escolha a VPC que você deseja usar para esse endpoint.
1. Para **Configurar tabelas de rotas**, selecione as tabelas de rotas a serem usadas pelo endpoint. O serviço VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do S3 para o novo endpoint.
1. Em **Política**, escolha **Acesso total** para permitir acesso total ao serviço do S3 por qualquer usuário ou serviço dentro da VPC. Escolha **Personalizar** para restringir ainda mais o acesso. Para mais informações, consulte [Use uma política de endpoint personalizada para restringir o acesso ao S3](#train-vpc-policy).
### Use uma política de endpoint personalizada para restringir o acesso ao S3
A política de endpoint padrão permite acesso total ao S3 para qualquer usuário ou serviço em sua VPC. Para restringir ainda mais o acesso ao S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte [Usar políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Você também pode usar uma política de buckets para restringir o acesso aos seus buckets do S3 somente ao tráfego proveniente da sua Amazon VPC. Para obter informações, consulte [Usar as Políticas do Bucket do Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restringir a instalação do pacote no contêiner de treinamento
A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 no contêiner de treinamento. Se você não deseja que os usuários instalem pacotes, crie uma política de endpoint personalizada que negue explicitamente o acesso a esses repositórios. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tabelas de rotas
Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos de treinamento sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte [Roteamento para endpoints do gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) no *Guia do usuário da Amazon VPC*.
### Configuração do grupo de segurança da VPC
No treinamento distribuído, é necessário permitir a comunicação entre os diferentes contêineres no mesmo trabalho de treinamento. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada entre membros do mesmo grupo de segurança. Para instâncias habilitadas para EFA, garanta que as conexões de entrada e saída permitam todo o tráfego do mesmo grupo de segurança. Para obter mais informações, consulte [Regras dos grupos de segurança](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) no *Guia do usuário da Amazon Virtual Private Cloud*.
### Conectar-se a recursos fora de sua VPC
Se você configurar a VPC para que não tenha acesso à Internet, os trabalhos de treinamento que a utilizam não terão acesso a recursos externos. Se o seu trabalho de treinamento precisar acessar recursos fora da VPC, conceda o acesso com uma das seguintes opções:
+ Se seu trabalho de treinamento precisar acessar um AWS serviço que ofereça suporte a endpoints VPC de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista dos serviços compatíveis com endpoints de interface, consulte [Endpoint de VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) no *Guia do usuário do Amazon Virtual Private Cloud*. Para obter informações sobre a criação de uma interface VPC endpoint, consulte Interface [VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) no Guia do usuário da *Amazon* Virtual Private Cloud.
+ Se seu trabalho de treinamento precisar acessar um AWS serviço que não ofereça suporte a endpoints VPC de interface ou a um recurso externo AWS, crie um gateway NAT e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte [Cenário 2: VPC com sub-redes pública e privada (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) no *Guia do usuário da Amazon Virtual Private Cloud*.
### Monitore trabalhos SageMaker de treinamento da Amazon com CloudWatch registros e métricas
A Amazon SageMaker AI fornece CloudWatch registros e métricas da Amazon para monitorar trabalhos de treinamento. CloudWatch fornece CPU, GPU, memória, memória de GPU, métricas de disco e registro de eventos. Para obter mais informações sobre o monitoramento de trabalhos SageMaker de treinamento da Amazon, consulte [Métricas de SageMaker IA da Amazon na Amazon CloudWatch](monitoring-cloudwatch.md) [SageMaker Métricas de trabalho de IA](monitoring-cloudwatch.md#cloudwatch-metrics-jobs) e.
# Dê aos endpoints hospedados por SageMaker IA acesso aos recursos em sua Amazon VPC
## Configurar um modelo para acesso à Amazon VPC
Para especificar sub-redes e grupos de segurança em sua VPC privada, use o parâmetro de `VpcConfig` solicitação da [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)API ou forneça essas informações ao criar um modelo no console de IA. SageMaker SageMaker A IA usa essas informações para criar interfaces de rede e anexá-las aos seus contêineres de modelo. As interfaces de rede concedem aos contêineres de modelo uma conexão de rede na sua VPC, sem acesso à Internet. Além disso, permitem que o modelo conecte-se aos recursos da VPC privada.
**nota**
Você deve criar pelo menos duas sub-redes em diferentes zonas de disponibilidade na sua VPC privada, mesmo se tiver apenas uma instância de hospedagem.
Veja a seguir um exemplo do parâmetro `VpcConfig` incluído na sua chamada para `CreateModel`.
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure sua VPC privada para SageMaker hospedagem de IA
Ao configurar a VPC privada para SageMaker seus modelos de IA, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte [Trabalho com VPCs e sub-redes no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Guia do usuário da Amazon *VPC*.
**Topics**
+ [Certifique-se de que as sub-redes tenham endereços IP suficientes](#host-vpc-ip)
+ [Criar um endpoint de VPC do Amazon S3](#host-vpc-s3)
+ [Usar uma política de endpoint personalizada para restringir o acesso ao Amazon S3](#host-vpc-policy)
+ [Adicionar permissões para acesso ao endpoint para contêineres em execução em uma VPC para políticas personalizadas do IAM](#host-vpc-endpoints)
+ [Configurar tabelas de rotas](#host-vpc-route-table)
+ [Conectar-se a recursos fora de sua VPC](#model-vpc-nat)
### Certifique-se de que as sub-redes tenham endereços IP suficientes
As instâncias de treinamento que não usam um Elastic Fabric Adapter (EFA) devem ter pelo menos dois endereços IP privados. As instâncias de treinamento que não usam um EFA devem ter pelo menos cinco endereços IP privados. Para obter mais informações, consulte [Vários endereços IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/MultipleIP.html) no Guia do usuário do Amazon EC2.
### Criar um endpoint de VPC do Amazon S3
Se você configurar sua VPC para que os contêineres de modelos não tenham acesso à Internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm os dados, a menos que você crie um endpoint de VPC que permita o acesso. Ao criar um endpoint de VPC, você permite que seus contêineres de modelo acessem os buckets em que você armazena seus dados e artefatos de modelo. Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC privada acessem os buckets do S3. Para obter mais informações, consulte [Endpoints para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Para criar um endpoint de VPC do Amazon S3:**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Endpoints** e **Criar endpoint**.
1. Em **Nome do serviço**, escolha **com.amazonaws. *region*.s3**, onde *region* está o nome da AWS região em que sua VPC reside.
1. Em **VPC**, escolha a VPC que você deseja usar para esse endpoint.
1. Para **Configurar tabelas de rotas**, selecione as tabelas de rotas que o endpoint usará. O serviço VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta o tráfego do Amazon S3 para o novo endpoint.
1. Em **Política**, escolha **Acesso total** para permitir acesso total ao serviço do Amazon S3 por qualquer usuário ou serviço dentro da VPC. Para restringir ainda mais o acesso, escolha **Personalizar**. Para obter mais informações, consulte [Usar uma política de endpoint personalizada para restringir o acesso ao Amazon S3](#host-vpc-policy).
### Usar uma política de endpoint personalizada para restringir o acesso ao Amazon S3
A política de endpoint padrão permite acesso total ao Amazon Simple Storage Service (Amazon S3) para qualquer usuário ou serviço em sua VPC. Para restringir ainda mais o acesso ao Amazon S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte [Usar políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).
Você também pode usar uma política de buckets para restringir o acesso aos seus buckets do S3 somente ao tráfego proveniente da sua Amazon VPC. Para obter informações, consulte [Usar as Políticas do Bucket do Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restringir a instalação do pacote no contêiner de modelo com uma política de endpoint personalizada
A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 no contêiner de modelo. Se você não deseja que os usuários instalem pacotes desses repositórios, crie uma política de endpoint personalizada que negue explicitamente o acesso aos repositórios do Amazon Linux e Amazon Linux 2. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Adicionar permissões para acesso ao endpoint para contêineres em execução em uma VPC para políticas personalizadas do IAM
A política gerenciada `SageMakerFullAccess` inclui as permissões que você precisa para usar modelos configurados para acesso à Amazon VPC com um endpoint. Essas permissões permitem que a SageMaker IA crie uma interface de rede elástica e a anexe a contêineres de modelo executados em uma VPC. Se usar sua própria política do IAM, você deverá adicionar as seguintes permissões a essa política para usar modelos configurados para acesso à VPC:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre a política gerenciada `SageMakerFullAccess`, consulte [AWS política gerenciada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurar tabelas de rotas
Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de URLs que as usadas para especificar os locais dos dados em seus modelos sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte [Roteamento para endpoints do gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) no *Guia do usuário da Amazon VPC*.
### Conectar-se a recursos fora de sua VPC
Se você configurar a VPC para que não tenha acesso à Internet, os modelos que a utilizam não terão acesso a recursos externos. Se o seu modelo precisarem acessar recursos fora da VPC, conceda o acesso com uma das seguintes opções:
+ Se seu modelo precisar acessar um AWS serviço que ofereça suporte a endpoints VPC de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista dos serviços compatíveis com endpoints de interface, consulte [Endpoint de VPCs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) no *Guia do usuário da Amazon VPC*. *Para obter informações sobre a criação de uma interface VPC endpoint, consulte Interface [VPC Endpoints () no Guia do usuário AWS PrivateLink da](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) Amazon VPC.*
+ Se seu modelo precisar acessar um AWS serviço que não ofereça suporte a endpoints VPC de interface ou a um recurso externo AWS, crie um gateway NAT e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte [Cenário 2: VPC com sub-redes pública e privada (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) no *Guia do usuário da Amazon Virtual Private Cloud*.
# Conceder aos trabalhos de transformação em lotes acesso aos recursos em sua Amazon VPC
Para controlar o acesso aos seus dados e trabalhos de transformação de lotes, recomendamos criar uma Amazon VPC privada e configurá-la para que eles não sejam acessíveis pela Internet pública. Especifique a configuração de sua VPC privada ao criar um modelo. Basta especificar sub-redes e grupos de segurança. Em seguida, especifique o mesmo modelo ao criar um trabalho transformador em lote. Quando você especifica as sub-redes e os grupos de segurança, a SageMaker IA cria *interfaces de rede elásticas* associadas aos seus grupos de segurança em uma das sub-redes. As interfaces de rede permitem que seus contêineres de modelo sejam conectados aos recursos em sua VPC. Para obter mais informações sobre interfaces de rede, consulte [Interfaces de rede elástica](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ElasticNetworkInterfaces.html) no *Guia do usuário da Amazon VPC*.
Este documento explica como adicionar configurações da Amazon VPC para trabalhos de transformação de lotes.
## Configurar um trabalho de transformação de lotes para acesso à Amazon VPC
Para especificar sub-redes e grupos de segurança em sua VPC privada, use o parâmetro de `VpcConfig` solicitação da [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel.html)API ou forneça essas informações ao criar um modelo no console de IA. SageMaker Em seguida, especifique o mesmo modelo no parâmetro de `ModelName` solicitação da [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateTransformJob.html)API ou no campo **Nome do modelo** ao criar um trabalho de transformação no console de SageMaker IA. SageMaker A IA usa essas informações para criar interfaces de rede e anexá-las aos seus contêineres de modelo. As interfaces de rede concedem aos contêineres de modelo uma conexão de rede na sua VPC, sem acesso à Internet. Além disso, permitem que o trabalho de transformação conecte-se aos recursos da VPC privada.
Veja a seguir um exemplo do parâmetro `VpcConfig` incluído na sua chamada para `CreateModel`.
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Se você estiver criando um modelo usando a operação de API `CreateModel`, o perfil de execução do IAM usado para criar o modelo deverá incluir as permissões descritas no [CreateModel API: Permissões da função de execução](sagemaker-roles.md#sagemaker-roles-createmodel-perms), incluindo as seguintes permissões necessárias para uma VPC privada:
Ao criar um modelo no console, se você selecionar **Criar uma nova função** na seção **Configurações do modelo**, a [AmazonSageMakerFullAccess ](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonSageMakerFullAccess$jsonEditor)política usada para criar a função já conterá essas permissões. Se você selecionar **Inserir um ARN de perfil do IAM personalizado** ou **Usar perfil existente**, o ARN do perfil que você especificar deverá ter uma política de execução anexada com as seguintes permissões:
```
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
```
## Configure sua VPC privada para o AI SageMaker Batch Transform
Ao configurar a VPC privada para SageMaker seus trabalhos de transformação em lote de IA, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte [Trabalho com VPCs e sub-redes no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Guia do usuário da Amazon *VPC*.
**Topics**
+ [Certifique-se de que as sub-redes tenham endereços IP suficientes](#batch-vpc-ip)
+ [Criar um endpoint da VPC para o Amazon S3](#batch-vpc-s3)
+ [Use uma política de endpoint personalizada para restringir o acesso ao S3](#batch-vpc-policy)
+ [Configurar tabelas de rotas](#batch-vpc-route-table)
+ [Configuração do grupo de segurança da VPC](#batch-vpc-groups)
+ [Conectar-se a recursos fora de sua VPC](#batch-vpc-nat)
### Certifique-se de que as sub-redes tenham endereços IP suficientes
As sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de transformação. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Guia do usuário IPv4 da Amazon *VPC*.
### Criar um endpoint da VPC para o Amazon S3
Se você configurar sua VPC para que os contêineres de modelos não tenham acesso à Internet, eles não poderão se conectar aos buckets do Amazon S3 que contêm os dados, a menos que você crie um endpoint de VPC que permita o acesso. Ao criar um endpoint de VPC, você permite que seus contêineres de modelo acessem os buckets em que você armazena seus dados e artefatos de modelo. Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC privada acessem os buckets do S3. Para obter mais informações, consulte [Endpoints para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Criação de um endpoint da VPC do S3**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Endpoints** e **Criar endpoint**.
1. Em **Nome do serviço**, escolha **com.amazonaws. *region*.s3**, onde *region* está o nome da região em que sua VPC reside.
1. Em **VPC**, escolha a VPC que você deseja usar para esse endpoint.
1. Para **Configurar tabelas de rotas**, selecione as tabelas de rotas a serem usadas pelo endpoint. O serviço VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do S3 para o novo endpoint.
1. Em **Política**, escolha **Acesso total** para permitir acesso total ao serviço do S3 por qualquer usuário ou serviço dentro da VPC. Escolha **Personalizar** para restringir ainda mais o acesso. Para mais informações, consulte [Use uma política de endpoint personalizada para restringir o acesso ao S3](#batch-vpc-policy).
### Use uma política de endpoint personalizada para restringir o acesso ao S3
A política de endpoint padrão permite acesso total ao S3 para qualquer usuário ou serviço em sua VPC. Para restringir ainda mais o acesso ao S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte [Usar políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Você também pode usar uma política de buckets para restringir o acesso aos seus buckets do S3 somente ao tráfego proveniente da sua Amazon VPC. Para obter informações, consulte [Usar as Políticas do Bucket do Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies).
#### Restringir a instalação do pacote no contêiner do modelo
A política de endpoint padrão permite que os usuários instalem pacotes dos repositórios do Amazon Linux e do Amazon Linux 2 no contêiner de treinamento. Se você não deseja que os usuários instalem pacotes, crie uma política de endpoint personalizada que negue explicitamente o acesso a esses repositórios. Veja a seguir um exemplo de política que nega acesso somente a esses repositórios:
```
{
"Statement": [
{
"Sid": "AmazonLinuxAMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::packages.*.amazonaws.com/*",
"arn:aws:s3:::repo.*.amazonaws.com/*"
]
}
]
}
{
"Statement": [
{ "Sid": "AmazonLinux2AMIRepositoryAccess",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::amazonlinux.*.amazonaws.com/*"
]
}
]
}
```
### Configurar tabelas de rotas
Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos de transformação em lote sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte [Roteamento para endpoints do gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) no *Guia do usuário da Amazon VPC*.
### Configuração do grupo de segurança da VPC
Na transformação em lote distribuída, você deve permitir a comunicação entre os diferentes contêineres no mesmo trabalho de transformação em lote. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada e saída entre membros do mesmo grupo de segurança. Membros do mesmo grupo de segurança devem ser capazes de se comunicar entre eles em todas as portas. Para obter mais informações, consulte [Regras de grupos de segurança](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
### Conectar-se a recursos fora de sua VPC
Se você configurar sua VPC para que ela não tenha acesso à Internet, os trabalhos de transformação em lote que usarem essa VPC não terão acesso a recursos fora da sua VPC. Se o seu trabalho de transformação em lote precisar acessar recursos fora da VPC, conceda o acesso com uma das seguintes opções:
+ Se seu trabalho de transformação em lote precisar acessar um AWS serviço que ofereça suporte a endpoints VPC de interface, crie um endpoint para se conectar a esse serviço. Para obter uma lista dos serviços compatíveis com endpoints de interface, consulte [Endpoint de VPCs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints.html) no *Guia do usuário da Amazon VPC*. *Para obter informações sobre a criação de uma interface VPC endpoint, consulte Interface [VPC Endpoints () no Guia do usuário AWS PrivateLink da](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-interface.html) Amazon VPC.*
+ Se sua tarefa de transformação em lote precisar acessar um AWS serviço que não ofereça suporte a endpoints VPC de interface ou a um recurso externo AWS, crie um gateway NAT e configure seus grupos de segurança para permitir conexões de saída. Para obter informações sobre como configurar um gateway NAT para sua VPC, consulte [Cenário 2: VPC com sub-redes pública e privada (NAT)](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html) no *Guia do usuário da Amazon Virtual Private Cloud*.
# Dê ao Amazon SageMaker Clarify Jobs acesso aos recursos em sua Amazon VPC
Para controlar o acesso aos seus dados e às tarefas do SageMaker Clarify, recomendamos que você crie uma Amazon VPC privada e a configure para que suas tarefas não sejam acessíveis pela Internet pública. Para obter informações sobre como criar e configurar uma Amazon VPC para trabalhos de processamento, [consulte SageMaker Conceder acesso aos trabalhos de processamento aos recursos em sua Amazon](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc) VPC.
Este documento explica como adicionar configurações adicionais da Amazon VPC que atendam aos requisitos dos trabalhos do Clarify. SageMaker
**Topics**
+ [Configurar um SageMaker Clarify Job para acesso à Amazon VPC](#clarify-vpc-config)
+ [Configure sua Amazon VPC privada para SageMaker trabalhos do Clarify](#clarify-vpc-vpc)
## Configurar um SageMaker Clarify Job para acesso à Amazon VPC
Você precisa especificar sub-redes e grupos de segurança ao configurar sua Amazon VPC privada para trabalhos do SageMaker Clarify e permitir que o trabalho obtenha inferências do modelo de SageMaker IA ao calcular métricas de viés pós-treinamento e contribuições de recursos que ajudem a explicar as previsões do modelo.
**Topics**
+ [SageMaker Clarify Job: sub-redes e grupos de segurança do Amazon VPC](#clarify-vpc-job)
+ [Configurar um modelo da Amazon VPC para inferência](#clarify-vpc-model)
### SageMaker Clarify Job: sub-redes e grupos de segurança do Amazon VPC
Sub-redes e grupos de segurança em sua Amazon VPC privada podem ser atribuídos a um trabalho do SageMaker Clarify de várias maneiras, dependendo de como você cria o trabalho.
+ **SageMaker Console de IA**: forneça essas informações ao criar o trabalho no **painel de SageMaker IA**. No menu **Processamento**, escolha **Trabalhos de processamento** e, em seguida, escolha **Criar trabalho de processamento**. Selecione a opção **VPC** no painel **Rede** e forneça as sub-redes e os grupos de segurança usando as listas suspensas. Certifique-se de que a opção de isolamento de rede fornecida neste painel esteja desativada.
+ **SageMaker API**: use o parâmetro de `NetworkConfig.VpcConfig` solicitação da [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API, conforme mostrado no exemplo a seguir:
```
"NetworkConfig": {
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
}
```
+ **SageMaker SDK do Python**: use o `NetworkConfig` parâmetro da [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API ou da [https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)API, conforme mostrado no exemplo a seguir:
```
from sagemaker.network import NetworkConfig
network_config = NetworkConfig(
subnets=[
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2",
],
security_group_ids=[
"sg-0123456789abcdef0",
],
)
```
SageMaker A IA usa as informações para criar interfaces de rede e anexá-las à tarefa do SageMaker Clarify. As interfaces de rede fornecem uma tarefa do SageMaker Clarify com uma conexão de rede dentro da Amazon VPC que não está conectada à Internet pública. Eles também permitem que o trabalho SageMaker Clarify se conecte a recursos em sua Amazon VPC privada.
**nota**
A opção de isolamento de rede da tarefa SageMaker Clarify deve ser desativada (por padrão, a opção está desativada) para que a tarefa SageMaker Clarify possa se comunicar com o endpoint sombra.
### Configurar um modelo da Amazon VPC para inferência
Para calcular as métricas e a explicabilidade do viés pós-treinamento, o trabalho do SageMaker Clarify precisa obter inferências do modelo de SageMaker IA especificado pelo `model_name` parâmetro da [configuração de análise](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) do trabalho de processamento do Clarify. SageMaker Como alternativa, se você usar a `SageMakerClarifyProcessor` API no SDK do SageMaker AI Python, o trabalho precisará obter o `model_name` especificado pela classe. [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig) Para fazer isso, o trabalho SageMaker Clarify cria um endpoint efêmero com o modelo, conhecido como *endpoint sombra*, e depois aplica a configuração do modelo da Amazon VPC ao endpoint sombra.
Para especificar sub-redes e grupos de segurança em sua Amazon VPC privada para o modelo de SageMaker IA, use o parâmetro de `VpcConfig` solicitação da [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateModel)API ou forneça essas informações ao criar o modelo usando o painel de SageMaker IA no console. Veja a seguir um exemplo do parâmetro `VpcConfig` incluído na sua chamada para `CreateModel`.
```
"VpcConfig": {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Você pode especificar o número de instâncias do endpoint paralelo a serem iniciadas com o `initial_instance_count` parâmetro da [configuração de análise](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html#clarify-processing-job-configure-analysis) para a tarefa de processamento do SageMaker Clarify. Como alternativa, se você usar a `SageMakerClarifyProcessor` API no SDK do SageMaker AI Python, o trabalho precisará obter o `instance_count` especificado pela classe. [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)
**nota**
Mesmo que você solicite apenas uma instância ao criar o endpoint paralelo, precisará de pelo menos duas sub-redes no modelo em zonas de [ModelConfig](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.ModelConfig)disponibilidade distintas. Caso contrário, a criação de endpoints de sombra falhará com o erro a seguir:
ClientError: Erro ao hospedar o endpoint sagemaker-clarify-endpoint-XXX: falha. Motivo: Não é possível localizar pelo menos duas zonas de disponibilidade com o tipo de instância solicitado YYY que se sobreponham às sub-redes de SageMaker IA.
Se seu modelo exigir arquivos de modelo no Amazon S3, o modelo da Amazon VPC precisará ter um endpoint de VPC do Amazon S3. Para obter mais informações sobre como criar e configurar uma Amazon VPC SageMaker para modelos de IA, consulte. [Dê aos endpoints hospedados por SageMaker IA acesso aos recursos em sua Amazon VPC](host-vpc.md)
## Configure sua Amazon VPC privada para SageMaker trabalhos do Clarify
Em geral, você pode seguir as etapas em [Configurar sua VPC privada para SageMaker processamento para configurar sua Amazon VPC](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-vpc) privada para trabalhos do Clarify. SageMaker Aqui estão alguns destaques e requisitos especiais para trabalhos na SageMaker Clarify.
**Topics**
+ [Conectar-se a recursos fora da sua Amazon VPC](#clarify-vpc-nat)
+ [Configurar o grupo de segurança da Amazon VPC](#clarify-vpc-security-group)
### Conectar-se a recursos fora da sua Amazon VPC
Se você configurar sua Amazon VPC para que ela não tenha acesso público à Internet, alguma configuração adicional será necessária para conceder à SageMaker Clarify jobs acesso a recursos e serviços fora da sua Amazon VPC. Por exemplo, um endpoint VPC do Amazon S3 é necessário porque um trabalho do SageMaker Clarify precisa carregar um conjunto de dados de um bucket do S3 e salvar os resultados da análise em um bucket do S3. Para obter mais informações, consulte [Criar um endpoint de VPC do Amazon S3](https://docs.aws.amazon.com/sagemaker/latest/dg/process-vpc.html#process-vpc-s3) do guia de criação. Além disso, se uma tarefa do SageMaker Clarify precisar obter inferências do endpoint paralelo, ela precisará chamar vários outros AWS serviços.
+ **Crie um endpoint VPC do serviço de SageMaker API da Amazon**: o trabalho SageMaker Clarify precisa chamar o serviço de SageMaker API da Amazon para manipular o endpoint paralelo ou descrever um modelo de IA SageMaker para validação do Amazon VPC. Você pode seguir as orientações fornecidas no blog [Protegendo todas as chamadas de SageMaker API da Amazon com](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/) o AWS PrivateLink blog para criar um endpoint VPC de SageMaker API da Amazon que permita que o trabalho SageMaker do Clarify faça as chamadas de serviço. Observe que o nome do serviço de SageMaker API da Amazon é`com.amazonaws.region.sagemaker.api`, onde *region* está o nome da região em que sua Amazon VPC reside.
+ **Crie um endpoint VPC do Amazon SageMaker AI Runtime**: o trabalho SageMaker Clarify precisa chamar o serviço de tempo de execução do Amazon SageMaker AI, que encaminha as invocações para o endpoint paralelo. As etapas de configuração são semelhantes às do serviço de SageMaker API da Amazon. Observe que o nome do serviço Amazon SageMaker AI Runtime é`com.amazonaws.region.sagemaker.runtime`, onde *region* está o nome da região em que sua Amazon VPC reside.
### Configurar o grupo de segurança da Amazon VPC
SageMaker Os trabalhos do Clarify oferecem suporte ao processamento distribuído quando duas ou mais instâncias de processamento são especificadas de uma das seguintes formas:
+ **SageMaker Console de IA**: a **contagem de instâncias** é especificada na parte **Configuração de recursos** do painel **Configurações de trabalho** na página **Criar tarefa de processamento**.
+ **SageMaker API**: o `InstanceCount` é especificado quando você cria o trabalho com a [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateProcessingJob)API.
+ **SageMaker SDK do Python**[: o `instance_count` é especificado ao usar a [SageMakerClarifyProcessor](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.clarify.SageMakerClarifyProcessor)API ou a API do processador.](https://sagemaker.readthedocs.io/en/stable/api/training/processing.html?highlight=Processor#sagemaker.processing.Processor)
No processamento distribuído, é necessário permitir a comunicação entre as diferentes instâncias no mesmo trabalho de processamento. Para fazer isso, configure uma regra para seu grupo de segurança que permita conexões de entrada entre membros do mesmo grupo de segurança. Para mais informações, consulte [Regras do grupo de segurança](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules).
# Dê aos trabalhos de compilação de SageMaker IA acesso aos recursos em sua Amazon VPC
**nota**
Para trabalhos de compilação, você pode configurar apenas sub-redes com uma VPC de locação padrão em que seu trabalho é executado em hardware compartilhado. Para obter mais informações sobre o atributo de locação para VPCs, consulte [Instâncias dedicadas](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-instance.html).
## Configurar um trabalho de compilação para acesso à Amazon VPC
Para especificar sub-redes e grupos de segurança em sua VPC privada, use o parâmetro de `VpcConfig` solicitação da [https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateCompilationJob.html)API ou forneça essas informações ao criar um trabalho de compilação no console de IA. SageMaker SageMaker O AI Neo usa essas informações para criar interfaces de rede e anexá-las às suas tarefas de compilação. As interfaces de rede concedem aos trabalhos de compilação uma conexão de rede na sua VPC, sem acesso à Internet. Além disso, permitem que o trabalho de compilação conecte-se aos recursos da VPC privada. Veja a seguir um exemplo do parâmetro `VpcConfig` incluído na sua chamada para `CreateCompilationJob`.
```
VpcConfig: {"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
## Configure sua VPC privada para SageMaker compilação de IA
Ao configurar a VPC privada para SageMaker seus trabalhos de compilação de IA, use as diretrizes a seguir. Para obter informações sobre como configurar uma VPC, consulte [Trabalho com VPCs e sub-redes no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/working-with-vpcs.html) Guia do usuário da Amazon *VPC*.
**Topics**
+ [Certifique-se de que as sub-redes tenham endereços IP suficientes](#neo-vpc-ip)
+ [Criar um endpoint da VPC para o Amazon S3](#neo-vpc-s3)
+ [Use uma política de endpoint personalizada para restringir o acesso ao S3](#neo-vpc-policy)
+ [Configurar tabelas de rotas](#neo-vpc-route-table)
+ [Configuração do grupo de segurança da VPC](#neo-vpc-groups)
### Certifique-se de que as sub-redes tenham endereços IP suficientes
As sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de compilação. Para obter mais informações, consulte [Dimensionamento de VPC e sub-rede no](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) Guia do usuário IPv4 da Amazon *VPC*.
### Criar um endpoint da VPC para o Amazon S3
Se você configurar sua VPC para bloquear o acesso à Internet, o SageMaker Neo não poderá se conectar aos buckets do Amazon S3 que contêm seus modelos, a menos que você crie um endpoint de VPC que permita acesso. Ao criar um VPC endpoint, você permite que seus trabalhos de compilação SageMaker Neo acessem os buckets onde você armazena seus dados e artefatos de modelo. Recomendamos que você também crie uma política personalizada para que apenas solicitações da sua VPC privada acessem os buckets do S3. Para obter mais informações, consulte [Endpoints para Amazon S3](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-s3.html).
**Criação de um endpoint da VPC do S3**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Endpoints** e **Criar endpoint**.
1. Em **Nome do serviço**, pesquise **com.amazonaws. *region*.s3**, onde *region* está o nome da região em que sua VPC reside.
1. Escolha o tipo de **gateway**.
1. Em **VPC**, escolha a VPC que você deseja usar para esse endpoint.
1. Para **Configurar tabelas de rotas**, selecione as tabelas de rotas a serem usadas pelo endpoint. O serviço VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do S3 para o novo endpoint.
1. Em **Política**, escolha **Acesso total** para permitir acesso total ao serviço do S3 por qualquer usuário ou serviço dentro da VPC. Escolha **Personalizar** para restringir ainda mais o acesso. Para mais informações, consulte [Use uma política de endpoint personalizada para restringir o acesso ao S3](train-vpc.md#train-vpc-policy).
### Use uma política de endpoint personalizada para restringir o acesso ao S3
A política de endpoint padrão permite acesso total ao S3 para qualquer usuário ou serviço em sua VPC. Para restringir ainda mais o acesso ao S3, crie uma política de endpoint personalizada. Para obter mais informações, consulte [Usar políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3). Você também pode usar uma política de buckets para restringir o acesso aos seus buckets do S3 somente ao tráfego proveniente da sua Amazon VPC. Para obter informações, consulte [Usar as Políticas do Bucket do Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-s3-bucket-policies). Veja a seguir um exemplo de política personalizada:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::your-sample-bucket",
"arn:aws:s3:::your-sample-bucket/*"
],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": [
"vpce-1a2b3c4d"
]
}
}
}
]
}
```
------
#### Adicione permissões para trabalhos de compilação em execução em uma Amazon VPC para políticas personalizadas do IAM
A política gerenciada `SageMakerFullAccess` inclui as permissões que você precisa para usar modelos configurados para acesso à Amazon VPC com um endpoint. Essas permissões permitem que SageMaker o Neo crie uma interface de rede elástica e a anexe ao trabalho de compilação executado em uma Amazon VPC. Se usar sua própria política do IAM, você deverá adicionar as seguintes permissões a essa política para usar modelos configurados para acesso à Amazon VPC:
------
#### [ JSON ]
****
```
{"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
Para obter mais informações sobre a política gerenciada `SageMakerFullAccess`, consulte [AWS política gerenciada: AmazonSageMakerFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSageMakerFullAccess).
### Configurar tabelas de rotas
Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`,) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos de compilação sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte [Roteamento para endpoints do gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) no *Guia do usuário da Amazon VPC*.
### Configuração do grupo de segurança da VPC
Em seu grupo de segurança para o trabalho de compilação, você deve permitir a comunicação externa com seus endpoints da Amazon VPC do Amazon S3 e os intervalos CIDR da sub-rede usados para o trabalho de compilação. Para obter mais informações, consulte as [Regras de grupos de segurança](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) e [Controlar o acesso a serviços com endpoints da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html).
# Dar aos trabalhos do Inference Recommender acesso aos recursos em sua Amazon VPC
**nota**
O Inference Recommender exige que você registre seu modelo no Model Registry. Observe que o Model Registry não permite que os artefatos do seu modelo ou a imagem do Amazon ECR sejam restritos à VPC.
O Inference Recommender também exige que seu objeto do Amazon S3 de exemplo de carga não seja restrito à VPC. Para trabalhos de recomendação de inferência, você não pode criar uma política personalizada que permita apenas solicitações da sua VPC privada para acessar seus buckets do Amazon S3.
Para especificar sub-redes e grupos de segurança em sua VPC privada, use o parâmetro de `RecommendationJobVpcConfig` solicitação da [CreateInferenceRecommendationsJob](https://docs.aws.amazon.com/sagemaker/latest/APIReference/API_CreateInferenceRecommendationsJob.html)API ou especifique suas sub-redes e grupos de segurança ao criar um trabalho de recomendação no console de IA. SageMaker
O Inference Recommender usa essas informações para criar endpoints. Ao provisionar endpoints, a SageMaker IA cria interfaces de rede e as conecta aos seus endpoints. As interfaces de rede fornecem aos seus endpoints uma conexão de rede com sua VPC. Veja a seguir um exemplo do parâmetro `VpcConfig` incluído em uma chamada para `CreateInferenceRecommendationsJob`.
```
VpcConfig: {
"Subnets": [
"subnet-0123456789abcdef0",
"subnet-0123456789abcdef1",
"subnet-0123456789abcdef2"
],
"SecurityGroupIds": [
"sg-0123456789abcdef0"
]
}
```
Consulte os tópicos a seguir para obter mais informações sobre como configurar sua Amazon VPC para uso com trabalhos do Inference Recommender.
**Topics**
+ [Certifique-se de que as sub-redes tenham endereços IP suficientes](#inference-recommender-vpc-access-subnets)
+ [Criar um endpoint de VPC do Amazon S3](#inference-recommender-vpc-access-endpoint)
+ [Adicionar permissões para trabalhos do Inference Recommender em execução em uma Amazon VPC para políticas personalizadas do IAM](#inference-recommender-vpc-access-permissions)
+ [Configurar tabelas de rotas](#inference-recommender-vpc-access-route-tables)
+ [Configuração do grupo de segurança da VPC](#inference-recommender-vpc-access-security-group)
## Certifique-se de que as sub-redes tenham endereços IP suficientes
As sub-redes da VPC devem ter pelo menos dois endereços IP privados para cada instância em um trabalho de recomendação de inferência. Para obter mais informações sobre sub-redes e endereços IP privados, consulte [Como a Amazon VPC funciona](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#vpc-sizing-ipv4) no *Guia do usuário da Amazon VPC*.
## Criar um endpoint de VPC do Amazon S3
Se você configurar sua VPC para bloquear o acesso à Internet, o Inference Recommender não poderá se conectar aos buckets do Amazon S3 que contêm seus modelos, a menos que você crie um endpoint de VPC que permita o acesso. Ao criar um VPC endpoint, você permite que seus trabalhos de recomendação de inferência de SageMaker IA acessem os buckets em que você armazena seus dados e artefatos de modelo.
Para criar um endpoint de VPC do Amazon S3, use o seguinte procedimento:
1. Abra o [console da Amazon VPC](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Endpoints** e **Criar endpoint**.
1. Em **Nome do serviço**, escolha `com.amazonaws.region.s3`, em que `region` é o nome da região em que a VPC reside.
1. Escolha o tipo de **gateway**.
1. Em **VPC**, escolha a VPC que você deseja usar para esse endpoint.
1. Para **Configurar tabelas de rotas**, selecione as tabelas de rotas a serem usadas pelo endpoint. O serviço de VPC adiciona automaticamente uma rota a cada tabela de rotas selecionada que aponta qualquer tráfego do Amazon S3 para o novo endpoint.
1. Em **Política**, escolha **Acesso total** para permitir acesso total ao serviço do Amazon S3 por qualquer usuário ou serviço dentro da VPC.
## Adicionar permissões para trabalhos do Inference Recommender em execução em uma Amazon VPC para políticas personalizadas do IAM
A política gerenciada `[ AmazonSageMakerFullAccess](https://docs.aws.amazon.com/sagemaker/latest/dg/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonSageMakerFullAccess)` inclui as permissões que você precisa para usar modelos configurados para acesso à Amazon VPC com um endpoint. Essas permissões permitem que o Inference Recommender crie uma interface de rede elástica e a anexe ao trabalho de recomendação de inferência executado em uma Amazon VPC. Se usar sua própria política do IAM, você deverá adicionar as seguintes permissões a essa política para usar modelos configurados para acesso à Amazon VPC:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{"Effect": "Allow",
"Action": [
"ec2:DescribeVpcEndpoints",
"ec2:DescribeDhcpOptions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "*"
}
]
}
```
------
## Configurar tabelas de rotas
Use as configurações de DNS padrão para sua tabela de rotas de endpoints, para que o Amazon URLs S3 padrão (por exemplo`http://s3-aws-region.amazonaws.com/amzn-s3-demo-bucket`:) resolva. Se você não usar as configurações de DNS padrão, certifique-se de que as URLs que você usa para especificar os locais dos dados em seus trabalhos de recomendação de inferência sejam resolvidas configurando as tabelas de rotas do endpoint. Para obter informações sobre as tabelas de rotas de endpoints da VPC, consulte [Roteamento para endpoints do gateway](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpce-gateway.html#vpc-endpoints-routing) no *Guia do usuário da Amazon VPC*.
## Configuração do grupo de segurança da VPC
Em seu grupo de segurança para o trabalho de recomendação de inferência, você deve permitir a comunicação externa com seus endpoints da VPC do Amazon S3 e os intervalos CIDR da sub-rede usados para o trabalho de recomendação de inferência. Para obter mais informações, consulte as [Regras de grupos de segurança](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#SecurityGroupRules) e [Controlar o acesso a serviços com endpoints da Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-endpoints-access.html) no *Guia do usuário da Amazon VPC*.